Fuzz模糊测试，侦探的推理手法 Fuzz Testing (模糊测试)是一种测试方法,即构造一系列无规则的“坏”数据（“坏”数据：非正常数据）插入应用程序,判断程序是否出现异常,以发现潜在的bug。在信息安全领域,也有人尝试引入fu... 2024-1-14 18:47:24 | 阅读: 10 | 收藏 | 白安全组 arjun 数据 wangehacker burp oj

ssrf漏洞简单学习解析 首先，ssrf漏洞是利用对方服务器执行，其漏洞的形成原因一般是因为web服务取引用了外部的文件或者url，服务器对于数据没有过滤或者检测是否合法性的话，这里黑客可以通过修改外部引用的东西实现ssrf攻... 2024-1-13 10:51:37 | 阅读: 23 | 收藏 | 白安全组 php ssrf 漏洞 远程 windows

hackerone官方漏洞，25000美元漏洞报告（ssrf） 这个是来自于hackerone自己的漏洞，赏金直接给到了25000美元，毫不吝啬的给到了严重级别的评级，没有降级。（没有对比没有伤害）下面来分析下这个思路首先来看看原文内容。Navigate to h... 2024-1-12 10:40:26 | 阅读: 25 | 收藏 | 白安全组 漏洞 hackerone 注入 ssrf inject

hackerkid实战学习 这是一篇基于靶场的实战文章，主要学习的点有：1、nmap基本使用2、tornado框架3、dig命令使用4、xxe漏洞利用5、SSTI漏洞利用6、Linux提权手法靶机地址：https://downl... 2024-1-10 18:12:38 | 阅读: 12 | 收藏 | 白安全组 端口 注入 信息 漏洞 脚本

美国国防部注入漏洞报告分析 这里是一个比较有意思的注入漏洞，是一个搜索框的注入漏洞，也是我们平时测试中可能会忽略的一点。这里可以看到，一个基本寻找测试点的流程，这里作者针对了一个输入框进行测试，下面是完整的数据包POST /DS... 2024-1-7 13:25:42 | 阅读: 10 | 收藏 | 白安全组 数据 sqlmap soapenv dsf searchvalue

国外漏洞报告分析篇（条件竞争漏洞） 前言：        很多经常挖洞的都知道hackerone这个国外平台，国内的src只能用SunnyBoy的首字母形容，国外的挖洞给的钱基本是国内的十倍。那么我们平时就可以多看看国外的一些漏洞报告，... 2024-1-5 14:12:54 | 阅读: 1 | 收藏 | 白安全组 漏洞 race1 burp turbo gate

（0day）某友CRM系统存在逻辑漏洞（大量资产存在） 阅读须知亲爱的读者，我们诚挚地提醒您，WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失，均由使用者自行承担责任。WebSec实验室及作者... 2024-1-3 14:0:30 | 阅读: 69 | 收藏 | 白安全组 漏洞 精华 攻击 星主 合伙

脱离脚本小子篇----写一个简单的字典生成器 学习，总是一步步进行的，公众号近期的内容，对于一些初学者，稍微有一些难度，或者暂时用不到，这里我也会穿插更新一些简单的小学习。这里我们先来看代码，python写的，非常少，具体意思我都标注好了... 2023-12-29 18:0:12 | 阅读: 7 | 收藏 | 白安全组 passwd itertools 模块 dic 1234567

viper红队攻击系统使用与安装 一、viper简单安装使用这里我写了一个简单得脚本，可以直接加权限后运行安装，脚本在文章末尾当我们的viper.sh变成上面的绿色，那么我们的执行权限就已经添加成功了添加成功之后，我们就需要对这个脚本... 2023-12-22 10:39:12 | 阅读: 6 | 收藏 | 白安全组 黑客 载荷 脚本 viper 肉鸡

(在野0day)iDocview某接口存在任意文件读取 阅读须知亲爱的读者，我们诚挚地提醒您，WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失，均由使用者自行承担责任。WebSec实验室及作者... 2023-12-14 09:52:25 | 阅读: 22 | 收藏 | 白安全组 漏洞 websec 上涨 控制 信息

Apache APISIX 默认密钥漏洞（CVE-2020-13945） 前言：Apache APISIX是一个高性能API网关。在用户未指定管理员Token或使用了默认配置文件的情况下，ApacheAPISIX将使用默认的管理员Token edd1c9f034335f13... 2023-12-10 09:12:19 | 阅读: 13 | 收藏 | 白安全组 apisix lua ngx 脚本 vulhub

某日志系统0day独家，附poc 一、漏洞描述         Panalog是一款日志系统，方便用户统一集中监控、管理在网的海量设备。Panabit 日志系统openid接口存在SQL注入漏洞，攻击者通过在Web应用程序的输入字段中... 2023-12-6 10:45:28 | 阅读: 153 | 收藏 | 白安全组 漏洞 注入 panabit 监控 攻击者

不小心入侵一个摄像头了 前言：今天闲的无事，用goby在咖啡馆里的内网中扫了一圈，发现一个有意思的IP看了一下组件，，然后访问之后发现是一个摄像头的后台登录界面，查了一下GoAhead是什么，发现这是一个嵌入式Web服务器，... 2023-12-1 20:52:53 | 阅读: 14 | 收藏 | 白安全组 attacker vulhub 靶场 漏洞 dup2

内网渗透小技巧——令牌 窃取 首先我们的环境是，我们已经将我们的msf木马放置到目标机器中去，准备进一步提权。令牌=token伪造令牌 核心是Kerberos协议。我们首先使用msf进行链接，使用命令use incognito然后... 2023-11-27 19:13:27 | 阅读: 20 | 收藏 | 白安全组 木马 伪造 incognito impersonate test1

Cobalt strike内网上线其他主机 我们攻击进入内网之后，需要通过对外服务的主机，然后使其他内网主机上线，这个时候就需要那台服务器主机作为跳板，这里我给大家讲一下如何使用cs进行操作。首先先明确我们的一个攻击关系hacker------... 2023-11-19 14:57:34 | 阅读: 23 | 收藏 | 白安全组 木马 上线 控制 攻击 监听器

蓝队加固训练：Linux用户权限排查及加固 Linux系统是多用户操作系统，Linux系统通过识别用户名称对应的id号来判断，Linux用户名和id对应的关系都储存在我们常/etc/passwd中以冒号为分解root是用户名；x是用户密码；0是... 2023-11-15 17:39:8 | 阅读: 3 | 收藏 | 白安全组 passwd shadow 信息 多余 useradd

websocket测试基础 websockertHTML5基于TCP协议的独立的通信协议URI格式ws://类似与http使用明文传输 ，默认端口为80ws://host[:port]path[?query]wss://类似于h... 2023-11-11 21:13:7 | 阅读: 10 | 收藏 | 白安全组 端口 80ws burp

Docker云生态的入门级文章 1    安全行业，从最开始的web发展到现在，随着各种技术的凸显，在目前有一个很不错的发展方向，那就是云安全。    那么云安全基于的就是docker，今天就来了解一下这个东西的基本使用。云spri... 2023-11-7 19:39:42 | 阅读: 7 | 收藏 | 白安全组 容器 镜像 隔离 安全 网络

X漏洞奖励计划周年庆 | 一周生日，三周欢庆 “各位白帽师傅：“X漏洞奖励计划”在各位师傅的支持下已经1岁啦！为了感谢各位师傅的支持，我们准备了4个活动，与各位师傅一同庆祝1岁生日！活动时间：6月2日~6月23日漏洞提交入口：登录X情报社区（x.... 2023-6-16 09:3:38 | 阅读: 7 | 收藏 | 白安全组 漏洞 礼盒 xday 机票 往返

cobalt strike权限维持插件使用 权限维持插件https://github.com/yanghaoi/CobaltStrike_CNA参考文章https://www.wangan.com/p/11v6c7502802f2aa安装插件：... 2023-6-13 21:5:19 | 阅读: 29 | 收藏 | 白安全组 注册表 劫持 yanghaoi