- 博客(13)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 Seay源代码审计系统2.1源码
GitHub - ExpLangcn/SeaySourceCodeCheck: Seay源代码审计系统2.1源码
2022-08-09 21:04:02
327
原创 拿到一个待检测的站或给你一个网站,你觉得应该先做什么?
1.获取域名的 whois 信息,获取注册者邮箱姓名电话等。2.通过站长之家、明小子、k8、站长之家等查询服务器旁站以及子域名站点,因为主站一般 比较难,所以先看看旁站有没有通用性的 cms 或者其他漏洞。3、通过 DNS 域传送漏洞、备份号查询、SSl 证书、APP、微信公众号、暴力破解、DNS 历史记录、K8 C 段查询、Jsfinder、360 或华为威胁情报、证书序列号获取企业二级域名与 ip。4、通过 Nmap、Wappalyzer、御剑等查看服务器操作系统版本,web 中间件,看看是否存 在已知
2022-08-09 21:00:29
496
原创 CVE-2022-33891:Apache Spark 命令注入漏洞通告
它还支持一组丰富的高级工具,包括用于 SQL 和 DataFrames 的 Spark SQL、用于 Pandas 工作负载的 Spark 上的 Pandas API、用于机器学习的 MLlib、用于图形处理的 GraphX 和用于流处理的结构化流。在进入doFilter函数之后,首先会提取参数“doAs”的值,然后赋值给effectiveUser,进入org.apache.spark.SecurityManager#checkUIViewPermissions函数。...
2022-08-08 22:06:51
1463
原创 XSS跨站脚本攻击
XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,位于OWASP top 10 2013/2017年度分别为第三名和第七名,XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。从上面中的一段话,可以得知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。...
2022-08-08 21:03:01
973
转载 scan4all
scan4all:集成 vscan、nuclei、ksubdomain、subfinder等,充分自动化、智能化 并对这些集成的项目进行代码级别优化、参数优化,个别模块,如 vscan filefuzz部分进行了重写 原则上不重复造轮子,除非存在bug、问题 跨平台:基于golang实现,轻量级、高度可定制、开源,支持Linux、windows、mac os等。...
2022-08-08 20:43:00
2097
2
转载 脱壳小子-java anti-decompiler保护脱壳
有一天,脚本小子想开发一个工具,但脚本小子又不想从头构思设计代码框架,就找找业界有没有好的工具能不能抄抄。终于在脚本小子快乐星球里,找到一个看起来还不错的工具。但存在一个问题,这个工具有代码保护壳。。。脚本小子本来只想当裁缝小子的,可没想到还得先是一个脱壳小子才行。...
2022-08-08 20:39:26
1007
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人