『渗透测试』前端图形验证码绕过
0x00 前言之前使用Burpsuite一直在用算命瞎子写的图形验证码识别工具。后来不小心把Burpsuite删了,也懒得折腾索性改用了国产工具yakit。接下里的内容就是基于算命瞎子写的图形验证码识
阅读全文一个好用的自动化越权扫描工具
工具介绍一个好用的越权扫描工具,越权漏洞自动化检测难、易发生且危害严重,但我们仍可以尽力自动化检测一部分越权漏洞。下载地址https://github.com/Ed1s0nZ/InfiltrateX文
阅读全文攻击源大部分来自美国!亚冬会赛事系统遭境外攻击超27万次|28.7 亿 Twitter 用户数据疑遭泄露,400GB 信息曝光
攻击源大部分来自美国!亚冬会赛事系统遭境外攻击超27万次!今天(4月3日),国家计算机病毒应急处理中心计算机病毒防治技术国家工程实验室发布“2025年哈尔滨第九届亚冬会”赛事信息系统及黑龙江省内关键信
阅读全文留神本地部署“小模型”的大风险
在AI安全这场长跑中,没有所谓的“免费午餐”。随着大语言模型在各行各业展现威力,如何让它们“瘦身”以降低部署成本,成为业界关注焦点。“模型蒸馏”正是在这样的背景下走红:通过让小模型学习大模型的行为,我
阅读全文40个漏洞挖掘实战清单,覆盖90%渗透场景!
Web漏洞的本质是信任体系的失控与验证机制的失效。其核心源于开发者对用户输入、权限边界及系统交互的过度信任,具体表现为三类问题:1. 输入不可控:未对用户输入进行严格过滤(如SQL注入、XSS),导致
阅读全文Java-web 自动化鉴权绕过
工具介绍审Java代码的时候,经常会遇到接口因鉴权问题被组合拳getshell,例如泛微和海康安防这些系统。为了平时审代码与绕鉴权时节省点时间,花了点时间分析总结了下网上所有与Java鉴权有关的问题,
阅读全文领免费鸡蛋后竟遭到起诉?提醒父母要注意;|苹果警告三处正被活跃利用的零日漏洞
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!领免费鸡蛋后竟遭到起诉?提醒父母要注意!近日,某地75岁老太拿身份证领免费鸡蛋后被诉,引发网友关注。75岁的张彩
阅读全文2025年最佳渗透测试工具Top 30榜单
渗透测试(Penetration Testing,又称道德黑客)是网络安全领域的关键流程,旨在识别和修复系统、网络及应用程序中的安全漏洞。通过模拟真实攻击场景,渗透测试能帮助组织在恶意攻击者利用漏洞前
阅读全文巧用Chrome-CDP远程调用Debug突破JS逆向
文章首发在:奇安信攻防社区https://forum.butian.net/share/4062CDP远程调用非常方便,他允许我们直接可以通过代码来操作浏览器完成一系列行为,希望通过我的这篇文章让师傅
阅读全文小程序自动化辅助渗透脚本
工具简介e0e1-wx是一个微信小程序自动化辅助渗透脚本,可用于自动化辅助反编译、自动化注入hook、自动化查看泄露等,平台限制:Windows。还在一个个反编译小程序吗?还在自己一个个注入hook吗
阅读全文开源社区快被⼤模型抓崩溃了;|快递员因同一人连收100个包裹报警了
开源社区快被⼤模型抓崩溃了;在“今天你被大模型DDoS了吗?”一文中,我们曾感慨生成式AI的崛起让 OpenAI、Anthropic、Google等玩家对互联网内容的渴求达到了疯狂的程度。无论是Cha
阅读全文关注 | 针对个人信息保护问题,四部门联合开展专项行动
据中国网信网3月28日消息,《中华人民共和国个人信息保护法》施行以来,中央网信办会同有关部门持续组织开展个人信息保护相关工作,建立健全工作机制,研究制定标准规范,依法依规查处各类违法违规行为,加强正面
阅读全文小程序渗透记录 通过细节挖掘漏洞的艺术
原文首发:奇安信攻防社区https://forum.butian.net/share/4229近期挖掘的几个有意思的支付漏洞逻辑漏洞,记录一下。希望能对师傅们有一点点的思路帮助,欢迎指正及交流学习!免
阅读全文Burp Fastjson漏洞探测扫描插件
工具介绍FastjsonScan4Burp是一款基于burp被动扫描的fastjson漏洞探测插件,可针对数据包中存在json的参数或请求体进行payload测试。旨在帮助安全人员更加便捷的发现、探测
阅读全文X 平台被曝遭遇严重数据泄露,涉及超 28 亿条个人数据信息;|三面“神镜”破AI谣言!这些套路一眼识破
X 平台被曝遭遇严重数据泄露,涉及超 28 亿条个人数据信息;3 月 31 日消息,据外媒 HACKREAD 报道,数据泄露论坛 Breach Forums“知名”用户 ThinkingOne 当地时
阅读全文10余款冒充正规App,伪造国家项目的仿冒App,请大家注意甄别
近期,信息通信行业反诈中心监测发现了10余款冒充正规App伪造国家项目的仿冒App请大家注意甄别↓↓各类APP正逐渐成为我们日常生活中的“必需品”不法分子为牟取不当利益仿冒一些正版APP推出“李鬼”式
阅读全文某电力公司web.config的RCE之旅
报告来源于某漏洞平台,是已公开的报告,作者:@Kaibro0x01 叙述https://ebppsmtp.taipower.com.tw/uploadfile/UploadFile.aspx 存在任意
阅读全文一款图形化的 .DS_Store文件泄露、.git目录泄露、.svn目录泄露漏洞利用工具
工具介绍forBy一款图形化的 .DS_Store文件泄露、.git目录泄露、.svn目录泄露漏洞利用工具。什么是 .DS_Store ?.DS_Store 是 macOS 系统自动生成的隐藏文件,全
阅读全文外包保洁员段某泄露3项国家机密!国安部披露细节|黑客技术自学成“提款机”,00后利用漏洞盗刷金豆非法套现10万
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!外包保洁员段某泄露3项国家机密!国安部披露细节:其为满足个人私欲,主动联系境外间谍情报机关保密无小事,事事需谨慎
阅读全文你的数据是如何流入暗网的?
暗网是互联网的隐蔽角落,用户在此可保持匿名。人们常将其与深网(Deep Web)混淆,但二者并不相同。暗网运作原理深网泛指所有未被搜索引擎索引的网络内容,包括电子邮件账户、私有数据库和付费服务等。这些
阅读全文Telegram 钓鱼事件分析:鱼叉式攻击链路解析
一、事件背景与概述1. 引言Telegram 凭借其高隐私性和加密通信功能,受到全球用户的广泛欢迎。然而,伴随着用户数的激增,针对 Telegram 的社工攻击、钓鱼手段也日益翻新。本文记录了本人在
阅读全文Tomcat自动化漏洞扫描利用工具
工具介绍Tomcat自动化漏洞扫描利用工具,支持批量弱口令检测、后台部署war包getshell、CVE-2017-12615 文件上传、CVE-2020-1938/CNVD-2020-10487 文
阅读全文疯狂刷单3000笔又全部退货!虚假“直播带货”骗取佣金链条被斩断;|《网络安全法》再次征求意见,拟加大对违法行为处罚力度
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!疯狂刷单3000笔又全部退货!虚假“直播带货”骗取佣金链条被斩断近日,公安机关网安部门成功侦破一起网络直播诈骗案
阅读全文2025年3月三大网络攻击事件盘点
2025年3月,网络威胁事件激增,个人用户和企业组织均面临严峻风险。从被武器化用于窃取个人数据的银行应用,到遭滥用于将用户重定向至钓鱼陷阱的可信域名,网络犯罪分子手段层出不穷。其攻击策略正变得更具创造
阅读全文某云盘系统 API 端点无限制上传漏洞解析
background在某次赚钱的时候,发现出现了这个系统的低版本 搜索了很久相关只找到了一个简短的一句话 但没有其他漏洞细节 于是本地搭建挖一下0x01 漏洞限制条件首先是需要一个账号来调用后台的插件
阅读全文利用主流 AI(如 Kimi、DeepSeek、GPT 等)检测越权漏洞的工具
工具介绍PrivHunterAI一款通过被动代理方式,利用主流 AI(如 Kimi、DeepSeek、GPT 等)检测越权漏洞的工具。其核心检测功能依托相关 AI 引擎的开放 API 构建,支持 HT
阅读全文Telegram惊现公开群组聊天索引机器人,抓取560亿条发言记录|黑客组织攻击纽约大学官网,泄露 300 万学生敏感信息
Telegram惊现公开群组聊天索引机器人 抓取8.6亿名用户的560亿条发言记录;即时通讯应用Telegram近期出现了一款名为Funstatgrtbot的监控机器人,该服务引发了对用户隐私保护的重
阅读全文白宫Signal聊天泄密事件正在演变成一场国家安全危机
白宫的Signal聊天泄密事件(以下简称“Signal泄密门”)仍在发酵。继《大西洋月刊》24日首次爆料特朗普政府高官在非政府加密应用Signal上讨论对也门胡塞武装的军事打击计划后。本周三《大西洋月
阅读全文攻防|记一次攻防和产品对抗
本文主要介绍了医疗行业在无资产的场景下的一些测试思路以及在打点、内网过程中一些安全产品对抗相关的内容,涉及waf绕过、上线技巧、提权绕过杀软、特定条件下隧道链等,针对整体的攻击过程进行相关总结,以及针
阅读全文轻量级的 Active Directory 枚举工具,用于收集域环境中的信息
工具介绍GhostAD 是一个轻量级的 Active Directory 枚举工具,用于收集域环境中的信息,包括域信息、域信任关系、密码策略、管理员账户等。该工具使用 LDAP 协议直接查询 Acti
阅读全文