一款强大的红队信息收集和资产收集工具(Kscan)
一款强大的红队资产测绘工具(Kscan)
逻辑漏洞渗透与攻防(三)之登录前端验证漏洞
今天我们接着逻辑漏洞的系列文章,接着来讲逻辑漏洞有关于登录前端验证漏洞。
文件上传骚姿势合集
判断是否为黑白名单,如果是白名单 寻找可控参数。如果是黑名单禁止上传,可以用有危害的后缀名批量提交测试,查找未加入黑名单的执行脚本。
XSS大全
XSS的原理和特性xss:将用户的输入当作前端代码执行注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条件:第一个是用户能够控制输入第二个是原本程序要执行的代码,拼接了用户输入的数据html:定义了网页的结构css:美化页面js:可以操浏览器XSS主要拼接的是什么SQL注入拼接的是操作
内网渗透测试 MSF搭建socks代理
通过msf设置代理渗透内网不出网主机
Web安全 Pikachu(皮卡丘)靶场搭建.
Pikachu(皮卡丘)是一个自带Web漏洞的应用系统,在这里包含了常见的web安全漏洞。如果你是一个想学习Web渗透测试人员,并且没有找到合适靶场,则可以使用这个Pikachu(皮卡丘)进行练习。(靶场包含:1.暴力破解,2.XSS,3.CSRF,4.SQL注入5.RCE,6.文件包含,7.不安全
内网渗透实战——红日ATT&CK系列靶场(一)学习笔记
内网渗透实战攻打红日靶场第一关,包括环境配置、信息收集、漏洞利用、内网信息收集、内网攻击、横向移动等操作。
网络安全与信息安全的主要区别讲解-行云管家
生活中工作中,我们经常可以听到信息安全与网络安全这两个词语,但很多小伙伴对于两者区分不清楚,今天我们小编就给大家来简单讲解一下这两者的主要区别吧!
文件上传漏洞进阶教程/白名单绕过/图片马制作/图片马执行
文件上传漏洞进阶教程/白名单绕过/图片马制作/图片马执行
远程代码执行渗透与攻防(一)
远程代码执行漏洞(RCE,也叫任意代码执行),是由用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致执行了服务器的命令。RCE漏洞的造成方式有很多种,一旦可以执行任意命令,就可以执行任意操作,属于高危漏洞。
kali更新源
更新kali源 vmtools安装 签名失效 阿帕奇 开启关闭
Weblogic远程代码执行漏洞(CVE-2023-21839)复现/保姆级讲解
由于WeblogicIIOP/T3协议存在缺陷,当IIOP/T3协议开启时,未经身份验证的攻击者通过IIOP/T3协议向受影响的服务器发送恶意的请求,最终导致在目标服务器上访问敏感信息并执行任意代码。
DedeCMS_v5.7漏洞复现
DedeCMS_v5.7漏洞复现环境搭建:服务器:WinServer2008(10.10.10.143) + phpstudy2018DedeCMS版本:DedeCMS-V5.7-UTF8-SP2下载地址:https://pan.baidu.com/s/1GQjWSDe7IlMVsVJ7HvrBOw
Vulnhub_CengBox
Vulnhub_CengBox
逻辑越权总结(超详细总结涉及各类越权)
Autorize是一个帮助渗透测试人员检测授权漏洞的扩展,这是Web应用程序渗透测试中比较耗时的任务之一。只需要将低权限账户的cookie值交个插件,然后用高权限的账号登录网站即可,该插件会自动重复每一个请求与低权限用户的会话并对其进行检测。在结果中看颜色,红色代表存在越权、黄色代表不确定、绿色代表
记一次MetInfo6.0.0文件包含漏洞复现
进行漏洞复现,读取敏感文件
FRP隧道代理研究与优化
FRP二开与研究
KALI应用篇(一)压力测试
方法论在简单了解了Linux的发展史并掌握了Linux的系统&操作逻辑后,KALI手册的第一课,就是如何进行有效的压力测试。在七层模型(OSI)中,压力测试通常会测试传输层和网络层,以保证系统的三要素(机密性、完整性、可用性)。压力测试有着不同的测试原理,同时也有着不同的方法和工具。总的来说
Web安全漏洞——SSTI模版注入(初级)
(这里特指用于Web开发的模版引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模版引擎来生成前端的html代码,模版引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模版+用户数据的前端html页面,然后反馈给浏览器,呈现
网络安全实战从 0 到 1 彻底掌握 XXE
网络安全实战从 0 到 1 彻底掌握 XXE
