简介
HertzBeat赫兹跳动 是一个拥有强大自定义监控能力,无需Agent的实时监控告警系统。应用服务,数据库,操作系统,中间件,云原生等监控,阈值告警,告警通知(邮件微信钉钉飞书短信 Discord Slack Telegram)。
功能介绍
网站监控, 端口可用性, Http Api, Ping连通性, Jvm, SiteMap全站, Ssl证书, SpringBoot, FTP服务器
Mysql, P……继续阅读 »
langsa
2年前 (2023-02-18) 432浏览 0评论
1个赞
1.User Agent Switcher
改变客户端的User Agent的一款插件
2.Hackbar
攻城师必备工具,提供了SQL注入和XSS攻击,能够快速对字符串进行各种编码。
关注浪飒sec回复hackbar获取火狐和谷歌版插件
3.HttpFox
监测和分析浏览器与web服务器之间的HTTP流量
4.Live HTTP Headers
即时查看一个网站的HTTP头
5.Tamper Data
查看和修……继续阅读 »
langsa
2年前 (2023-02-16) 312浏览 0评论
2个赞
一、短信验证码回传
1、原理
通过手机找回密码,响应包中包含短信验证码
2、案例
某网站选择用手机找回密码:
点击发送按钮,拦截回包,可以查看到短信验证码,如下图所示:
3、修复建议
响应包中去掉短信验证码
二、修改用户名、用户ID或手机号重置任意账号密码
1、原理
通过手机找回密码是一般需要短信验证码验证(这里可以尝试爆破或绕过)。当我们输入正确的手机号和正确的短信验证码,然后进入重置密码的最后一步,也就是输入……继续阅读 »
langsa
2年前 (2023-02-14) 317浏览 0评论
1个赞
IEyes
企业资产快速收集工具
本工具主要通过天眼查接口进行快速的资产收集,收集内容包括备案域名、公众号、APP,以及其子公司,投资公司的信息,支持递归深度搜索子公司
在查询企业子公司时主要分为4类企业单位场景,除了4以外整体我都简化一并查询
中小企业,集团公司,这类公司有自己的子公司,子公司也是我们收集的范围
大型厂商,比如腾讯阿里这类,这类公司主要以投资的形式拥有着一大批子公司,投资比例越高越和母公司关联性强……继续阅读 »
langsa
2年前 (2023-02-13) 274浏览 0评论
1个赞
漏洞概述
Apache Shiro 认证绕过漏洞(CVE-2020-1957)
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。
在Apache Shiro 1.5.2以前的版本中,在使用Spring动态控制器时,攻击者通过构造..;这样的跳转,可以绕过Shiro中对目录的权限限制。
环境搭建
环境搭建完毕,访问http://192……继续阅读 »
alsly
2年前 (2023-02-08) 412浏览 0评论
2个赞
漏洞简介
fastjson< =1.2.47 的版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意命令
环境搭建
环境搭建完毕,访问http://192.168.0.140:8090/,得到如下页面
验证漏洞的存在
访问http://192.168.0.140:8090 抓包,修改数据包,就可以更新服务器端的信息
GET修改成POST,再添加
Content-Type:appli……继续阅读 »
alsly
2年前 (2023-02-08) 241浏览 0评论
1个赞
原文转载至:https://www.secrss.com/articles/51511
近期,中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“网上购物类”公众大量使用的部分App收集个人信息情况进行了测试。测试情况及结果如下:
一、测试对象
本次测试选取了19家应用商店⁽¹⁾累计下载量排名前10位的“网上购物类”App。10款App基本情况如表1。
表1 10款App基本情况
二、测试方法
(一)测试环……继续阅读 »
Bains
2年前 (2023-02-03) 296浏览 0评论
2个赞
工具介绍
利用 Python 伪造电子邮件发件人以及制造电子邮件炸弹(仅限学术交流,用于非法用途概不负责)
下载与安装
https://github.com/Macr0phag3/email_hack
安装环境:Linux,Unix
Python version: 2.x ,3.x
安装依赖:pip3 install Dnspython
参数介绍
-h, --help 输出帮助信息
……继续阅读 »
Bains
2年前 (2023-02-03) 299浏览 0评论
1个赞
这些年,和各种类型的网安客户打过交道,有些事想起来还挺有意思。
客户A:软件才买成2000,为啥你改一下就要4000!!!
那年我还是学生,平时喜欢搞一些破解的事情,这个客户算是我第一单网安生意吧。
客户是我一个朋友介绍的,他在省城开连锁门店,花2000块买了一个类似ERP的客户关系管理软件,主要用途就是管理充值卡。但是客户还有一个财务软件,现在想把两个软件的数据对接起来方便使用,又不想花钱请原厂修改(估计原厂不鸟他……继续阅读 »
Bains
2年前 (2023-02-03) 277浏览 0评论
1个赞
前言
之前的白嫖B站图床用不了了,具体我就不截图了,直接上新方法。
本地配置
安装依赖
pip install requests
pip install requests_toolbelt
填写已登陆Bilibili官网的cookie中的这两个参数
脚本结构
https://github.com/imcyx/PicConvert
关注浪飒sec回复picc获取快速下载地址
Typora配置
python D……继续阅读 »
langsa
2年前 (2023-02-03) 300浏览 0评论
1个赞
