按时间归档:2022年10月
-
Burp suite插件-findSQL(查找存在注入的点)
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系刘一手。 请勿利用文章内的相关技术从事非法测试,如…
-
JavaScript审计
前言 Javascript (.js) 文件一般存储的是客户端代码,Javascript 文件可帮助网站执行某些功能,例如监视单击某个按钮的时间,或者当用户将鼠标移到图像上,甚至代…
-
第27篇:CSRF跨站请求伪造漏洞挖掘及绕过校验方法
Part1 前言 此案例源于一次对金融系统的漏洞挖掘,主要漏洞点集中在CSRF跨站请求伪造漏洞上,印象比较深。这个系统经过各个厂商N轮测试了,功能点又少,漏洞挖掘的难度很大,但…
-
360安全卫士极速版“诱导式”推广 静默安装且对抗安全软件
近期有较多网友反馈电脑被无故安装360安全卫士极速版。经火绒工程师溯源发现,目前360安全卫士极速版正通过购买搜索引擎排名、弹窗提示等“诱导式”手段推广并静默安装。根据火绒威胁情报…
-
基于阿里云Kubernetes集群内容器的一次安全测试
背景 本文会从红蓝队两个角度去描述 攻击机操作系统:Windows10,kali linux 被攻击操作系统:k8s集群,容器为centos7 测试框架:dvwa 测试目的:检测阿…
-
Linux 应急响应命令总结,收藏版
系统排查 系统基本信息 CPU 信息 CPU 信息:lscpu 操作系统信息 操作系统信息:uname -a 操作系统信息:cat /proc/version 模块信息 模块信息:…
-
shiro权限绕过总结
导航栏 章节 内容 1 什么是shiro绕过 2 shiro绕过的前置知识 3 各个版本的绕过复现(2个实例) 4 payload总结 5 思路总结 01 什么是shiro绕过 s…
-
gitlab漏洞系列-权限相关漏洞小结
这里主要小结的漏洞类型包含: Privilege escalation improper authentication improper authorization Busines…
-
针对Vue框架渗透测试-未授权访问目录漏洞【渗透实战+工具开发】
前言(吹水环节) 好久不见,最近很忙,自从工作之后就很少挤出时间来写博客了,每天都是干不完的活,特别是现在的七八月份,Hvv和攻防演练一大堆,我作为底层安服,所以更忙。就在上周,我…
-
【实用指南】一次真实的应急响应案例(Ubuntu)事件复现
点击“蓝字”关注我们吧! 前言概述 Linux环境下处理应急响应事件相比于Windows往往会更加的棘手。这篇文章将会对Linux环境下的应急响应流程进行讲解,并且提供每一个环节中…