挖洞思路:前端源码泄露漏洞并用source map文件还原
一、找到含.map的js页面进入到一个*.js的页面查看源码:选一个点进去拉到最下面:后缀加上.map访问https://xxx.js.map会直接下载app.91c9e19843b6a38f9ff5.js.map二、source map文件还原reverse-sourcemap这个工具,两年前发布
Kali Linux使用Xshell连接
今天继续给大家介绍渗透测试相关知识,本文主要内容是Kali Linux系统系统apt源配置。一、SSH服务配置二、XSHELL链接三、lrzsz安装与使用
【MacOs系统-M2安装2022新版AWVS渗透工具】-保姆级安装教程
macbook pro M2,安装awvs渗透工具。全称无脑操作,亲测可用,基于docker。兼容macos的M系列芯片,本机使用awvs。mac安装2022新版awvs教程。
想从事网络信息安全的工作,该如何自学?
由于我之前写了不少网络安全技术相关的文章,不少读者朋友知道我是从事网络安全相关的工作,于是经常有人私信问我:
HackTheBox Precious CVE-2022-25765利用,YAML反序列化攻击提权
HackTheBox靶机
web安全详解(渗透测试基础)
文章目录一、Web基础知识1.http协议2.网络三种架构及特点3. Web应用的特点4.URL组成6.Http协议的性质7.请求响应报文的格式8.请求方法9.http缓存10.缓存新鲜度如何判断11.Http重定向原理以及状态码12.HTTPS协议 数字证书13.HTTPS协议与HTTP协议的区别
安全工具--- rengine安装---资产侦查漏洞扫描
reNgine是一款针对Web应用渗透测试的自动化网络侦察框架,广大研究人员可以在针对Web应用程序的渗透测试过程中使用reNgine来实现信息收集,reNgine提供了一个自定义的扫描引擎,可以用于对网站和终端节点进行扫描和信息收集。
Spring RCE漏洞CVE-2022-22965复现与JavaFx GUI图形化漏洞利用工具开发
Spring RCE漏洞CVE-2022-22965复现与JavaFx GUI图形化漏洞利用工具开发。CVE-2022-22965\Spring-Core-RCE核弹级别漏洞的rce图形化GUI一键利用工具,基于JavaFx开发,图形化操作更简单,提高效率。
SQL注入-联合查询注入
SQL注入-联合查询注入
2022红队必备工具列表总结
一款适用于以HVV行动/红队/渗透测试团队为场景的移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具,可以帮助渗透测试工程师、红队成员快速收集到移动端或者静态WEB站点中关键的资产信息并提供基本的信息输出,如Title、Domain、CDN、指纹信息、状态信息等。Railgun
记一次对某假冒征信站点的实战渗透
记一次对某假冒征信站点的实战渗透,总结下来就是运气好
网络安全实验室4.注入关
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
Fastjson反序列化漏洞复现(实战案例)
漏洞介绍FastJson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的
网安入门须知:Python基础导读
人生苦短,我用PythonPython零基础入门一、Python 初识1、Python 的起源1.1 什么是解释器2、Python 的设计哲学3、为什么选择 Python4、第一个 Python程序4.1 新建 HelloPython.py文件4.2 编写代码4.3 运行文件4.4 修改文件扩展名二
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(十)RCE (远程代码/命令执行漏洞)相关面试题
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(十)RCE (远程代码/命令执行漏洞)相关面试题渗透方向的岗位,涉及到的知识点是很广泛的。这里我总结了整个一系列的面试题,可能没有覆盖到全部的知识面,但是应该是比较全面的,本文主讲解web漏洞RCE (远程代码/命令执行漏洞)方向的面试题。如果整
网络安全必学SQL注入
如果使用参数化查询,则在SQL语句中使用占位符表示需在运行时确定的参数值。当找到某个变量关键词有 SQL 注入风险时,可以再根据调用链找到该存在注入风险的业务逻辑代码,查看参数来源是否安全、是否有配置SQL危险参数过滤的过滤器,最终确认是否存在SQL注入。修改SQL语句之后,程序停止报错,但是却引入
centos搭建msf
由于msf一直在虚拟机里面用的时候有些麻烦,所以这里把他搭建在服务器上,网上有很多教程乱七八糟的,这是我一步一步实验出来的,完美兼容!1.安装msf官方有提供一键安装脚本,如下:curl https://raw.githubusercontent.com/rapid7/metasploit-omni
shiro反序列化漏洞(CVE-2016-4437)漏洞复现
本文对shiro反序列化漏洞(CVE-2016-4437),进行了分析复现,介绍了利用工具和常规修复方法
网络安全/渗透测试工具AWVS14.9下载/使用教程/安装教程
awvs下载、awvs使用教程、awvs安装教程、awvs批量扫描、awvs用法
DC-9靶场下载及渗透实战详细过程(DC靶场系列)
dc-9靶场详细渗透过程
