介绍
本人花了一点时间使用Github-API和WgpSecBot进行安全相关项目进行推送,用最简单的代码完成微信推送。
包含CVE-2022|CVE-2023推送和随机安全项目推送,每天推送两次,分别为早晨10点和晚上8点,每次推送30条项目。
随机安全推送关键字如下:
keyword=["CVE-2022","CVE-2023","渗透测试","……继续阅读 »
langsa
2年前 (2023-02-21) 286浏览 0评论
1个赞
这篇文章是关于绕过由于网站的弱点而发生的登录页面功能。绕过登录页面功能的方法有很多,但在本文中,我们将讨论一些常见的方法。那么让我们开始吧……
常见的七种方式
绕过 SQL 注入
通过跨站点脚本(XSS)
通过操纵响应返回包
绕过爆破攻击限制
绕过目录爆破攻击
默认凭据绕过
通过删除请求中的参数
绕过 SQL 注入
Mutillidae 为例进行演示
所以现在我们可以将 SQL 注入payload放入其中。对于这个……继续阅读 »
langsa
2年前 (2023-02-19) 304浏览 0评论
1个赞
简介
影子系统是一款非常强大的电脑保护程序,它就像是Windows一样是一个虚拟环境。它的工作原理和沙盘类似,它能够创建一个和真实操作系统一样的虚拟系统同时保护Windows系统。简单一点就是说相当于复制了一个和你电脑一样的系统,拥有一模一样的数据和应用程序。其实它的作用非常大,在我们平时使用电脑的时候经常性的会碰到一些病毒文件,如果你清理及时,可能你的电脑没什么大问题,如果你没来得及清理的话,那么你的电脑系统或者电……继续阅读 »
langsa
2年前 (2023-02-19) 320浏览 0评论
1个赞
简介
HertzBeat赫兹跳动 是一个拥有强大自定义监控能力,无需Agent的实时监控告警系统。应用服务,数据库,操作系统,中间件,云原生等监控,阈值告警,告警通知(邮件微信钉钉飞书短信 Discord Slack Telegram)。
功能介绍
网站监控, 端口可用性, Http Api, Ping连通性, Jvm, SiteMap全站, Ssl证书, SpringBoot, FTP服务器
Mysql, P……继续阅读 »
langsa
2年前 (2023-02-18) 432浏览 0评论
1个赞
1.User Agent Switcher
改变客户端的User Agent的一款插件
2.Hackbar
攻城师必备工具,提供了SQL注入和XSS攻击,能够快速对字符串进行各种编码。
关注浪飒sec回复hackbar获取火狐和谷歌版插件
3.HttpFox
监测和分析浏览器与web服务器之间的HTTP流量
4.Live HTTP Headers
即时查看一个网站的HTTP头
5.Tamper Data
查看和修……继续阅读 »
langsa
2年前 (2023-02-16) 312浏览 0评论
2个赞
一、短信验证码回传
1、原理
通过手机找回密码,响应包中包含短信验证码
2、案例
某网站选择用手机找回密码:
点击发送按钮,拦截回包,可以查看到短信验证码,如下图所示:
3、修复建议
响应包中去掉短信验证码
二、修改用户名、用户ID或手机号重置任意账号密码
1、原理
通过手机找回密码是一般需要短信验证码验证(这里可以尝试爆破或绕过)。当我们输入正确的手机号和正确的短信验证码,然后进入重置密码的最后一步,也就是输入……继续阅读 »
langsa
2年前 (2023-02-14) 317浏览 0评论
1个赞
IEyes
企业资产快速收集工具
本工具主要通过天眼查接口进行快速的资产收集,收集内容包括备案域名、公众号、APP,以及其子公司,投资公司的信息,支持递归深度搜索子公司
在查询企业子公司时主要分为4类企业单位场景,除了4以外整体我都简化一并查询
中小企业,集团公司,这类公司有自己的子公司,子公司也是我们收集的范围
大型厂商,比如腾讯阿里这类,这类公司主要以投资的形式拥有着一大批子公司,投资比例越高越和母公司关联性强……继续阅读 »
langsa
2年前 (2023-02-13) 274浏览 0评论
1个赞
漏洞概述
Apache Shiro 认证绕过漏洞(CVE-2020-1957)
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。
在Apache Shiro 1.5.2以前的版本中,在使用Spring动态控制器时,攻击者通过构造..;这样的跳转,可以绕过Shiro中对目录的权限限制。
环境搭建
环境搭建完毕,访问http://192……继续阅读 »
alsly
2年前 (2023-02-08) 412浏览 0评论
2个赞
漏洞简介
fastjson< =1.2.47 的版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意命令
环境搭建
环境搭建完毕,访问http://192.168.0.140:8090/,得到如下页面
验证漏洞的存在
访问http://192.168.0.140:8090 抓包,修改数据包,就可以更新服务器端的信息
GET修改成POST,再添加
Content-Type:appli……继续阅读 »
alsly
2年前 (2023-02-08) 241浏览 0评论
1个赞
原文转载至:https://www.secrss.com/articles/51511
近期,中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“网上购物类”公众大量使用的部分App收集个人信息情况进行了测试。测试情况及结果如下:
一、测试对象
本次测试选取了19家应用商店⁽¹⁾累计下载量排名前10位的“网上购物类”App。10款App基本情况如表1。
表1 10款App基本情况
二、测试方法
(一)测试环……继续阅读 »
Bains
2年前 (2023-02-03) 296浏览 0评论
2个赞
