用JVS小龙虾来应急,简直不要太快!
今天我在服务器上发现了一条异常日志:这属于明显的自动化抓鸡工具尝试利用某个通用漏洞进行扫描探测,一旦命中漏洞就执行脚本安装一系列的恶意木马病毒,最近小龙虾挺火的,正好阿里云推出的 JVS 小龙虾,有
阅读全文一个应用相当广泛的开源软件被恶意投毒
今天有个热点话题,一个 github 十几万 star 的项目被投毒,2026年3月31日凌晨,一场针对流行 HTTP 客户端库 Axios的供应链攻击在 npm 仓库上演。攻击者窃取了核心维护者 j
阅读全文新增 APP 小程序的资产管理
今日未发现新的 SRC 活动上线,不过明天有两场白帽子活动,欢迎大家踊跃参加:今天要分享的是 SRC 资产监控系统的一个功能更新,新增了企业备案 APP 和程序资产,如图:不想挖 web 了,看看小程
阅读全文快来看,编辑器正在帮我挖漏洞啦!
今日未发现新的 SRC 活动上线,目前在活动期内的 SRC 如下:今天来分享个好玩儿,昨天收集了一些 js map 泄露的路径,为了方便测试,做了一点研究,JavaScript 的 .map 文件是
阅读全文永久密钥:VIP99-SUPER-MAX66-PRO88-TOP01
大家好,这里是信安之路!最近有不少兄弟留言让我再开放一期【AI网站】的永久无限卡名额。老粉都知道,在去年8月之后,官方已经关闭了永久套餐的付款渠道,并且也取消了【AI网站】永久套餐,这几个月以来购买都
阅读全文这个功能你一定喜欢!!!
SRC 活动上新,度小满全域翻倍活动,快来挖洞:周末上线了一个新的功能,字典查询,当你在测试网站功能时,一定会用到 fuzz 功能,比如 Host 碰撞所需的 dns 字典,目录枚举时使用的目录字典,
阅读全文新增工具导航页,赋能在线挖洞!
今天没有新上的 SRC 活动,今天给大家分享一个平台的更新,先来看看当前 SRC 活动:为了方便测试,在 SRC 平台,增加了工具导航页面,将挖 SRC 的常用工具集成到这里,可以一键跳转:项目库有点
阅读全文挖洞前一定要看这个!
今天又有个 SRC 上新活动了,京东 SRC 高危/严重漏洞双倍积分、中通 SRC 也是双倍积分还累加奖励,平台已准备好资产,快来挖吧:今天来聊聊测试网站时,需要了解哪些关键信息,当你已经解锁某个 S
阅读全文这类漏洞危害有点低,SRC 好像不收录!
今天分享一个被大家忽略的漏洞,地图 API 的 key 泄露问题,目前还有大量网站存在该风险,不过由于危害不足没有得到重视,在此之前,看看今天有哪些 SRC 有活动:系统调用地图 key 是付费的,但
阅读全文挖 SRC 违法吗?
今天要分享的是白帽子测试安全规范,在此之前还是要分享一下当前有奖励活动的 SRC 有哪些:之前一月份出台了一份《网络犯罪防治法(征求意见稿)》目前还处于征求意见的阶段,其中有一段与所有白帽子相关,如图
阅读全文多种方式确认 IP 资产归属
今天要分享的是如何确认 IP 的归属,在此之前还是要分享一下当前有奖励活动的 SRC 有哪些:要确认 IP 的归属,主要通过域名解析记录、端口证书信息、同 C 段下的资产信息已经网站中的蛛丝马迹。子域
阅读全文更新 | 网站详情页新增变更记录
今天要分享是本周 SRC 平台的一个小更新,在此之前还是要分享一下当前有奖励活动的 SRC 有哪些:本周对网站详情页做了一个小更新,增加了网站的变更记录,如果网站后续发生变更后,可以直观的看到,主要变
阅读全文收藏 | 判断海量网站是否重复的技术方案(附代码思路)
今天来分享一下在开发 SRC 资产管理系统时,如何给网站去重,从而降低测试范围提高测试效率的,在此之前还是要分享一下当前有奖励活动的 SRC 有哪些:回到正题,我的去重方法其实很简单,在获取完网站的基
阅读全文仅 1 小时 首个腾讯超低危漏洞确认了!!!
报喜,昨天注册平台并解锁某讯 SRC 项目的用户,仅 1 小时,首个某讯超低危漏洞确认了:今天准备给大家聊聊这个系统的定位问题,很多同学把它理解成自动信息收集的平台,其实,并非一个单纯的信息收集平台,
阅读全文安全可控版「龙虾」来啦!有人为你兜底!
01OpenClaw那么火,到底能干啥?当“智能体”从聊天走向“代你执行”,企业面对的就不再是“好不好用”,而是“敢不敢接入生产”。OpenClaw(曾用名 ClawdBot、MoltBot)之所以爆
阅读全文写文章随便打开一个案例就发现了漏洞,真好玩儿!
今天来分享一下 SRC 监控系统关于一个网站都能看到哪些信息,在此之前,先看一下当前有效的 SRC 活动:如果有 SRC 活动没有统计到的,欢迎公众号后台私信活动链接,我会及时更新至平台,让更多人看到
阅读全文主域名到网站资产的进化之路
今天来聊一聊从主域名如何扩展出更多的网站资产,我收集的网站资产除了常规的通过 IP 访问或者通过域名访问之外,还有一个比较特色的资产就是组合网站,通过访问 IP,修改 Host 来访问网站,这类网站可
阅读全文从 SRC 到域名资产的初始化过程
今天来分享一下我的 SRC 资产监控系统中关于 SRC 初始资产(就是符合 SRC 收录条件的主域名)的收集方式,在此之前,先来看一下今天有效的 SRC 活动有哪些:登录 SRC 资产平台就可以看到来
阅读全文一个好玩儿的系统上线了!!!
今天元宵节,上线了一个开发了四五个月的系统,用来监控国内外漏赏金平台的网站资产,让用户更专注于漏洞挖掘本身,随时想测,随时测,不再耗费大量时间用于信息收集,系统的核心在于动态更新,持续监控。目前来说,
阅读全文2025 年,我又领奖了!
又是一年末,从 21 年 3 月离职,成为一名自由职业者,已经接近五个年头了,简单总结一下今年的工作成果吧,我的主要工作包括三个部分:自动化挖洞、维护开发运营产品、自媒体。从 21 年开始,收入方面一
阅读全文历时俩月写的系统,不知是否有用!
最近俩月一直在用 AI 开发系统,前几年一直在研究自动化信息收集和漏洞发现方面的事儿,所以就想写一个资产监控系统,方便研究手工黑盒测试方面的技术,于是动手借助 AI 之力,将以往经验汇聚到一个系统之内
阅读全文一不小心发现了一个 0day!!!
今天在分析之前发现的一些无法复线的 SQL 注入漏洞是,发现一个有意思的案例,接口路径为:/inc/AccountIndex.aspx?Method=getattention&name=a修改参数 M
阅读全文利用锁屏图片配置程序远程下载文件
在发现一个 windows 系统命令执行漏洞时,如果想要远程下载一个恶意文件并执行时,那么就需要找可以通过命令行下载文件的方式,可以实现的方式有很多,比如通过执行 VBS 远程下载、利用 ftp 命令
阅读全文一份专属于全球化互联网企业的应用安全指南
•文档所有者:Max Luo•联系方式:微信公众号:白帽子罗棋琛•适用范围:全业务线(Web、Mobile、API、微服务、数据与平台)•不在范围:非应用层(如桌面客户端应用、纯IoT固件、嵌入式非网
阅读全文基础 | 内网渗透,一键拿下域控的两个漏洞
今天来总结一下内网环境下,有哪些与域相关的漏洞,可以直接尝试,用于横向移动,更快的突破域控,拿到最高权限,历史上出现过两个漏洞。CVE-2020-1472 CVE-2020-1472 是一个 wind
阅读全文挑战 | 一起来审计一个认证部分的代码漏洞
今天继续来看一段代码,如图:这是一个使用 jwt 登录认证的功能,从代码中是否可以看出问题,如果存在漏洞,那么如何利用,并且如何修复。这里有个知识点,关于 jwt 认证的,JWT 全称为 JSON W
阅读全文一个文件上传的功能,可能出现哪些类型的漏洞?
今天我们来总结一下假如遇到一个文件上传的功能,那么可能会存在哪些类型的漏洞呢?一个文件上传功能,实现的原理可能是这样的:1、大多是情况下是上传图片文件,也有少部分情况是上传 pdf、doc 等文档以及
阅读全文基础 | 突破内网拿到主机权限后的第一件事儿
做一次完整的内网渗透,尽可能多的获取内网主机权限,也可能是有目的性的,比如靶标系统,关键服务等,那么首次拿到内网主机权限之后,要做那些事儿呢?每个渗透测试者,渗透测试的内容大体相同,但是操作步骤可能有
阅读全文工具 | 免费高清的远程控制软件
今天分享一个最近用起来的远程桌面控制工具,解决远程办公的问题,支持手机控制电脑,非常好用,这类工具有很多,比如向日葵、Tokdesk、TeamViewer 等。本文的主角是 UU 远程,由网易公司开发
阅读全文挑战 | 一个图片展示功能存在什么漏洞?
今天的挑战我们来看一段简单的 python 代码,如图:图中是一段获取图片的功能,获取 POST 请求中的 img 参数,也就是提供图片的文件名,然后组合文件路径,满足条件后,将图片的内容进行展示。大
阅读全文