沈阳深蓝25HW二轮招录启动!
2025一、单位简介沈阳深蓝安全信息科技有限公司是一家专业的安全服务公司,我单位自2020年以公司的形式开展业务,至今已是第六年,因我司制度完善,技术能力较强,现金流充足且健康,当前我司与国内的上市网
阅读全文一款智能且可控的目录爆破工具
工具介绍spray是一个最好用最智能最可控且全新理解的下一代的目录爆破工具,一个全方位的目录爆破的解决方案。主要为了解决自动有效目录识别,极限性能,多目标以及分布式目录爆破中可能会遇到的问题,并为解决
阅读全文某云盘系统 API 端点无限制上传漏洞解析
background在某次赚钱的时候,发现出现了这个系统的低版本 搜索了很久相关只找到了一个简短的一句话 但没有其他漏洞细节 于是本地搭建挖一下0x01 漏洞限制条件首先是需要一个账号来调用后台的插件
阅读全文AI自动化代码审计RCE
原文链接:https://xz.aliyun.com/news/17327如侵权请私聊我们删文前言AI最近的趋势持续偏高,用AI来写代码,挖漏洞甚至于审计代码的文章或者工具都非常多,最近刚好在学习AI
阅读全文某开源cms 0day挖掘
作者:用户9528原文链接:https://xz.aliyun.com/news/17601简介简介CicadasCMS是用springboot+mybatis+beetl开发的一款CMS,支持自定义
阅读全文记一次诈骗网站渗透测试
原文链接:https://xz.aliyun.com/news/17760作者:lack漏洞背景首先看了一下网站的主要运行模式,属于电商诈骗,投钱进去支持两个电商项目,然后每在巴西卖出一单会给你分红,
阅读全文JS前端加密自动化绕过工具 - SpiderX
介绍一款利用爬虫技术实现前端JS加密自动化绕过的渗透测试工具核心用途红队渗透增强痛点解决:针对前端传参加密率年增35%的现状(来源:OWASP 2023)效率提升:自动化绕过JS加密,爆破速度达普通爬
阅读全文BAT技术大牛力荐!雷池WAF如何让黑客“有来无回”?
一、介绍长亭雷池WAF(Web应用防火墙)由北京长亭科技历时近十年研发,以“不让黑客越雷池一步”为核心理念,专注于应用层防护,覆盖HTTP/HTTPS协议全场景。其核心技术基于智能语义分析算法,突破
阅读全文一款隐蔽数据嵌入工具 - ShadowMeld
介绍ShadowMeld 是一个针对安全研究者的隐蔽数据嵌入工具,可将二进制载荷(如 Shellcode)无缝注入png,bmp等常见文件格式,并生成专用的内存加载器(Loader),实现无文件痕迹的
阅读全文DD安全助手,一款多功能安全工具箱
一、简介DD安全助手是一款集成多种安全功能的工具箱,支持网络排查、主机信息收集、安全日志查询、IP类处理、文件内容搜索等相关操作二、功能说明1. 网络排查模块:提取信息:从一键提取或主动输入的nets
阅读全文推荐一个永久的HW演练、渗透攻防知识库
各位师傅们,我们建立了一个专业的渗透知识库,涵盖丰富的内容,旨在为网络安全从业者提供宝贵的资源和支持。01 永久的《渗透攻防知识库》 1内容涵盖最新网络安全大厂面试题、面试经验;护网情报、实战演练技术
阅读全文baitroute:蜜罐系统 - 像阿里一样捉弄红队
随便一说:各位挖过阿里SRC的大手子都知道,扫描器一堆误报,什么log4j、fastjson数不甚数,让扫描器和使用扫描器的大手子苦不堪言,现在摆在你面前有一个机会,你也可以部署蜜罐去捉弄那些扫描你服
阅读全文自动化JS提取与漏洞检测工具 - JSSS-Find
介绍JSSS-Find 是一款用于自动化提取JS文件、API接口测试以及暴露端点检测的工具。通过访问指定URL,提取并分析JS文件中的接口、路径和敏感信息,帮助开发者发现潜在的安全漏洞。该工具支持对网
阅读全文大力出奇迹—从目录爆破到getshell
一、获取备份文件1、对目标站点进行目录扫描没有什么收获,只有一些403,但是总感觉这里会有东西,于是我又重新fuzz了一下目录,把目标的公司名缩写加在了目录名中,果然大力出奇迹,获取到了一个备份文件。
阅读全文渗透测试工具 - 密探 (更新v1.2.2)
缘起对于学习网络安全的小白来说,在渗透实战过程中容易没有方向,密探借鉴FindSomeThing、SuperSearchPlus ,御剑文件扫描、dirsearch、JSFinder、fofaview
阅读全文内存敏感信息提取工具 - 幽狼(GhostWolf)
介绍GhostWolf 是一个强大的内存数据提取工具,专门设计用于从浏览器和远程控制软件中提取敏感信息。本项目基于 CookieKatz 项目开发,在其基础上扩展了更多功能。主要功能浏览器 Cooki
阅读全文学习路线,.NET安全攻防入门
每个时代的安全议题皆与当时社会的核心价值紧密相连。农业社会以土地为基,工业以能源为王,而在AI与大数据双轮驱动的全新时代,数据与语料已晋升为新时代的“石油”,其重要性不言而喻。因此,保障数据与信息的完
阅读全文一次就学会网络钓鱼“骚”姿势
作者: obse****转载于先知社区:https://xz.aliyun.com/news/12128一、什么是网络钓鱼网络钓鱼是通过伪造银行或其他知名机构向他人发送垃圾邮件,意图引诱收信人给出敏感
阅读全文最新一款信息收集综合工具
声明:本公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。介绍网络空间资产测绘、ICP备案、天眼查股权结构图、I
阅读全文一键解锁攻防演练小程序渗透新姿势 | 红队小白不再被劝退
本文使用的工具 DudeSuite(Dude Suite Web Security Tools)介绍DudeSuite是一款轻量化集成化的Web渗透测试工具集程序,程序包含了多种常见的渗透测试场景适用
阅读全文记一次微信小程序渗透用1分钱充值100元
一次很逆天的小程序渗透过程,给开发老哥加鸡腿!任意用户登录首先是用户登录页面手机号一键登录,抓包发现请求中泄露了sessionKey。sessionKey是微信服务器给开发者服务器颁发的身份凭证,正常
阅读全文CTF选手必收藏的50个实战解题思路
CTF竞赛的核心逻辑• 核心目标:快速拆解问题(Flag导向)、工具链协作、模式化思维。• 关键原则:先广度后深度(优先收集信息)、分治策略(拆解复杂任务)。第一部分:Web安全(15个思路)1.
阅读全文bp插件-短信轰炸Bypass
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自负作者yuziiiiiiiiii师傅GitHub地址:https://gith
阅读全文为渗透测试而生的ssh面板【Web界面】
GhostEye 是一个为渗透测试设计的专业Web Shell管理面板。背景与优势传统的ssh工具存在多种问题,此工具就是为了简化红队人员在渗透测试过程中的繁琐操作而设计:传统工具的局限性网络延迟问题
阅读全文FTP免杀绕过杀软及钓鱼绕过邮箱检测
作者:1315609050541697原文链接:https://xz.aliyun.com/news/171290x1 CS服务端制作远程恶意ps1文件CS服务端启动./teamserver ip p
阅读全文【挖洞之旅】一种验证码爆破漏洞的全新思路 | 简单实用
文章作者:火线Zone(cc55y)文章来源:https://zone.huoxian.cn/d/2975前言以往,遇到验证码,测试爆破都是重发几次,如果有次数限制大家就不会继续挖了,其实还有个方法可
阅读全文若依Vue一键漏洞检测工具(附源码)
使用截图如下简单使用输入url地址即可进行漏洞检测,如果知道账号密码,则登陆后抓包获取到cookie或者Authorization填入对应栏中即可,点击全面检测就会对所有历史漏洞进行一个探测输出在扫描
阅读全文Burp Suite 短信轰炸辅助绕过插件
工具介绍本Burp Suite插件专为短信轰炸漏洞检测设计,提供自动化Fuzz测试!作者:昱子绕过手段包含但不限于以下:参数污染参数复用填充垃圾字符特殊字符号码区号接口遍历组合测试......插件描述
阅读全文