企业管理类系统常见漏洞挖掘指北

在银行、证券、金融等行业，普通存在类似erp的面向企业侧的各种管理、采购、供应商等等系统，本文总结梳理该类系统特有的一些常见漏洞该类系统的常见功能如下常见漏洞如下短信伪造常见于注册、添加员工、各类短信

密码重置漏洞挖掘指南：从原理到实战的完整路径

前言：密码重置功能是Web应用中最常见也最核心的环节之一，它直接关系到用户账户的安全。正因为其普遍性和高敏感性，一个细微的逻辑缺陷都可能导致整个账户体系的沦陷。密码重置漏洞核心思路为：站在攻击者的角度

一款JS逆向神器-RaindropEcho

一、工具概述日常渗透过程中，经常会碰到一些网站需要破解其 JS 加密算法后，才能对数据包进行修改。我们将加密算法破解出来后，一般就是使用 python 的 requests 库，发送修改的数据包来进行

高级代码审计AI系统-----AuditLuma

AuditLuma是一个智能代码审计系统，采用创新的层级RAG架构，结合多个AI代理和先进技术，包括Haystack-AI编排器、txtai知识检索、R2R上下文增强和Self-RAG验证，为代码库提

基于ESXI部署防溯源的攻击环境

最近这几年攻防对抗愈演愈烈，攻击队被溯源反制的案例也越来越多。我本身从事应急响应，想站在蓝队的视角，基于ESXI实现一套防溯源的攻击环境，本文的所有操作只需要在ESXI和Openwrt上配置。实现在隔

若依(RuoYi)框架漏洞战争手册

当你在用若依时，黑客已经在用Shiro默认密钥弹你的Shell；当你还在纠结分页查询，攻击者已通过SQL注入接管数据库；而你以为安全的定时任务，不过是他们拿捏服务器的玩具。这份手册，带你用渗透的视角，

2025HVV-POC

CVE-2025-49493POST //concerto/services/RepositoryService HTTP/1.1Host: readacted.comCache-Control: m

【实战】关于KEY泄露API接口利用

前言最近做项目遇见的各个平台的Key泄露的比较多，正好总结一下关于API接口利用的内容分享一下。0X01 微信公众号泄露AppID+AppSecert利用前期通过打点获取到的数据库，互联网连接mysq

安服仔某渗透项目实战

前言由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。一、漏洞挖掘由于是做项目客户大大会直接将测试系统甩过来,所以这里就不过多介绍信息

坚守到最后的英雄们,辛苦啦!

推荐一款免费代理池:fir-proxy

推荐一款最近github上很有潜力的免费代理池:fir-proxy,3天50starfir-proxy一个高可用的 HTTP/SOCKS5 代理池，具有强大的图形化界面和多种代理获取方式。✨ 项目特点

渗透测试中的逻辑漏洞思路博弈

最近挖到的中高危漏洞，既没靠 `0day` 这种 "王炸"，也没搞复杂利用链 "炫技"，纯靠瞪大眼睛当 "人肉扫描器"，连标点符号都不放过地逐行比对参数和响应。直到某个昏昏欲睡的下午，随手改了个藏在

Redis hyperloglog远程代码执行

漏洞描述CVE‑2025‑32023 是 Redis 在处理 HyperLogLog（HLL）数据结构的稀疏编码格式时存在的一个严重安全漏洞。该漏洞源于在解析编码数据时，遍历运行长度（run leng

Prometheus 未授权访问漏洞处理

背景经常收到甲方的各种安全漏洞通知单，这次就是几年前部署的prometheus未授权访问漏洞。漏洞现象分析prometheus收集所有exporter的指标数据，汇总后通常由grafana去调用它，界

JAVA常见漏洞复现

ShiroShiro 550漏洞原理Shiro550漏洞原理是Shiro框架提供了一种记住密码(Rememberme)的功能，用户登录成功后会生成经过加密的Cookie值，对Remembe的Cooki

护网专项行动，你参与不

护网行动是政府推进网络治理、建设网络强国的重要举措，旨在维护国家网络主权与信息安全，促进互联网健康有序发展。该行动落实习近平总书记关于建设网络强国的系列重要指示精神，确保国家重大活动安保和关键信息基础

【限时招生】CISP-PTE渗透测试工程师认证培训，助你成为网络安全领域的“尖刀战士”！

你是否对网络安全充满热情？如今，随着信息技术的飞速发展，网络安全已经成为全球最重要的议题之一。你是否希望能够在这场数字化转型中发挥自己的力量？你是否渴望保护企业和个人的数据安全，成为守护数字世界的“白

Docker不能拉取镜像？

问题：docker不能拉取镜像文件，如何破！！！解决方法：1.在 /etc/systemd/system 目录下创建 docker.service.d 目录2.在该目录下创建 http-proxy.c

2025HVV巢安招聘！

2025HVV合肥巢安开启招聘啦直接对接厂商招聘要求硬性：毕业人员，有护网项目经验，中高级水平中级：具有一般的监控+处置+研判能力中级+：具有良好的监控+处置+研判+溯源能力熟悉主流安全设备。具备研判