文章目录 前言 WireShark抓包 HTTP站点 HTTPS站点 解密HTTPS数据 监听局域网流量 前言 在渗透测试过程中，必不可少的操作就是使用BurpSuite、Fildder等抓包工具对应用程序的数据包进行拦截、观...

文章目录 一、信息搜集 二、SMB爆破 三、获取靶机Shell 总结： 今天我们来看一下hackthebox里的一个靶机“Heist”，直接开始渗透。 一、信息搜集 先打开网站看看。是一个登陆框，使用弱口令和注...

以下是在网页版中的复现： 以下是在网页版中的复现： *参考来源：dynamicworld，clouds 编译整理，转载请注明来自 一一网络博客 *参考来源：dynamicworld，clouds 编译整理，转载请注明来自 一...

文章目录 IDOR漏洞介绍 去意想不到的地方寻找IDOR漏洞 别忘了编码或是哈希过的ID号 如果无法猜测，可以尝试创建 给Web应用提供一个请求ID，哪怕它没作要求 使用HTTP参数污染方法（HPP,HTTP para...

文章目录 一、登陆 二、逻辑漏洞 2.1敏感信息泄露（接口参数fuzz+驼峰命名法） 2.2逻辑漏洞-越权1（参数值替换） 2.3逻辑漏洞-越权2（参数值枚举） 2.4逻辑漏洞-IDOR（IDOR-不安全的直接对象引...

文章目录 漏洞发现过程 漏洞利用 漏洞上报及处理进程 从上图可见，上传视频文件的具体URL链接中包含了Google云盘中的相关身份验证信息，以便让Vimeo后端服务器能有权限从Google云盘中获取到相应...

文章目录 序列化和反序列化的概念 PHP的序列化 访问控制修饰符 PHP的反序列化 ctf 序列化和反序列化的概念 序列化就是将一个对象转换成字符串。字符串包括 属性名 属性值 属性类型和该对象对应...

文章目录 背景 概念 目的 特征工程 什么是TF-IDF 流程 模型训练与预测 KNN的优化 KNN的使用 最终预测结果 总结 背景 任何智能活动的都可以称为人工智能，而机器学习（Machine Learning）属于人...

文章目录 一、文件上传安全配置 二、绕过服务端的代码检测 1）MIME类型检测 2）文件后缀检测 3）文件内容检测 在web渗透中，文件上传是最简单直接的方式之一。但是碰到完全不做校验的代码直接上...

文章目录 Firefox IOS浏览器说明 用javascript URI构造XSS 浏览器阅读模式下的XSS漏洞触发 本地文件加载过程的XSS触发 内联页面加载过程的XSS触发 CSP绕过 其它场景 其它浏览器的该漏洞情况 漏...