文章目录 环境下载 网络环境 攻击过程 0×1.获取WEBSHELL 0×2.内网渗透 0×3.信息收集 0×4.密码获取 0×5.横向渗透 对xp的信息收集 对域机器进行渗透 Over the mountains...

文章目录 一、注册模块是否面向大众 二、是否需要验真。 三、短信或邮箱轰炸 四、是否校验用户名 五、SQL和XSS测试 六、是否可以注册成管理员 七、文件上传 八、其他 许多应用系统都有注册模块...

文章目录 启用PowerTools存储库 获取所有资源 MaxMin library 配置并安装modsecurity库 配置并安装modsecurity模块 棘手的一点 配置ModSecurity 差不多好了 在CfgMgmtCamp期间，我参加了Franzis...

文章目录 引言 环境搭建 漏洞分析 修复建议 引言 最近CVE-2020-1938炒的比较热闹，前几天比较忙，今天抽空跟了一下这个漏洞，时间线上肯定比别的大佬晚很多了，所以就选择从环境搭建开始写的详...

文章目录 XSStrike DOM XSS 内置参数 HTML解析和分析反射 Xray 准备工作 发包探索 Avvs 我的扫描器 扫描流程 Debug之旅 一些成果 为了实现自动刷SRC的目标，过年前就开始对w13scan的xss扫描功能...

文章目录 背景 原因 重新部署环境 安装Apache 配置PHP 复现钓鱼攻击 总结 PHP运行模式 参考文章： 背景 最近在Pikachu靶场中复现钓鱼攻击时，最后一步Basic认证后数据无法发送到后台，而是一直...

文章目录 漏洞概况 经验总结 于是，我尝试填入自己的手机号码，点击发送链接（Send Link），想看看发给我的手机短信是什么链接内容。该动作执行之后，会向app.snapchat.com发起一个HTTP POST请...

文章目录 标签-属性分隔符 使用方式 基于JavaScript事件的XSS 标准HTML事件 使用样例： HTML5事件 0点击事件： 使用样例： 基于CSS的事件 古怪的XSS向量 XSS多覆盖样例 框架 AngularJS Mavo XSS...

文章目录 一 、业务 二、漏洞处 三、支付逻辑漏洞 最近在挖各大src，主要以逻辑漏洞为主，想着总结一下我所知道的一些逻辑漏洞分享一下以及举部分实际的案例展示一下，方便大家理解。 主要...

文章目录 漏洞原因 漏洞复现 漏洞上报和处理进程 综上分析来看，由于Origin主机头仅允许本地IP地址，因此与受害者在同一本地网段的攻击者可构造恶意Websocket连接，通过DNS欺骗（Spoofing）或点...