首页
学习
活动
专区
工具
TVP
发布

FreeBuf

专栏作者
8086
文章
9120965
阅读量
349
订阅数
如何使用jwtXploiter测试JSON Web令牌的安全性
 关于jwtXploiter  jwtXploiter是一款功能强大的安全测试工具,可以帮助广大研究测试JSON Web令牌的安全性,并且能够识别所有针对JSON Web令牌的已知CVE漏洞。 jwtXploiter支持的功能如下: 篡改令牌Payload:修改声明和值; 利用已知的易受攻击的Header声明(kid、jku、x5u); 验证令牌有效性; 获取目标SSL连接的公钥,并尝试在仅使用一个选项的密钥混淆攻击中使用它; 支持所有的JWA; 生成JWK并将其插入令牌Header中
FB客服
2023-03-30
9660
SQLmap Tamper-API:一款功能强大的tamper脚本处理工具
 关于SQLmap Tamper-API  SQLmap Tamper-API是一款功能强大的tamper脚本处理工具,在该工具的帮助下,广大研究人员可以选择使用自己最喜欢的编程语言来编写SQLmap的tamper脚本,并在SQLmap中执行。 SQLmap Tamper-API本质上是一个API(应用程序编程接口),它可以解决SQLmap的原生限制,即只能接受Python语言来编写temper脚本。  运行机制  tapmer-api.py脚本会以JSON格式来将Payload和kwargs以参数的形
FB客服
2023-02-24
5250
PowerShellArmoury:专为安全研究人员设计的PowerShell武器库
PowerShellArmoury是一款专为渗透测试人员、红蓝队成员或其他信息安全技术人员设计的PowerShell武器库。这个武器库提供了多种PowerShell工具,并且还允许我们下载各种PowerShell脚本,然后将其存储至一个加密文件之中。
FB客服
2022-11-14
5600
Fennec:针对类Unix操作系统的多功能事件应急响应工具箱
Fennec是一个针对类Unix操作系统的多功能事件应急响应工具箱,Fennec基于Rust开发,可以帮助广大研究人员在类Unix操作系统上实现网络安全事件应急响应。除此之外,Fennec还支持广大研究人员自行开发相关的配置文件,并增加工具箱中的实用工具。
FB客服
2022-06-08
5290
FreeBuf甲方群话题讨论 | 聊聊企业API安全
安全和开放是互联网世界永恒的话题,其中API扮演着重要的的角色,API的安全可以说是开放与创新的前提。随着API成为越来越多企业访问数据和服务的接入口,由API漏洞引发的安全事件时有发生,不安全的API已成为网络攻击者的主要目标之一。本期话题就围绕企业的API安全展开相关讨论:
FB客服
2022-04-12
4060
Chaya:一款功能强大的高级图像隐写工具
Chaya是一款功能强大的高级图像隐写工具,Chaya可以通过隐写术、数据加密和压缩技术保护广大用户的隐私安全。该工具使用了AES-256-GCM加密技术来对所有的Payload进行有效加密,并使用了LSB-LPS隐写技术来将加密数据嵌入到图像文件中,然后使用FLIF进行数据压缩,最后通过执行无损压缩来绕过各种数据检测。
FB客服
2022-04-11
1.5K0
如何使用openSquat检测钓鱼域名和域名占用
openSquat是一款开源的智能化OSINT公开资源情报工具,该工具可以帮助广大研究人员检测和识别特定的网络钓鱼域名或域名占用问题。
FB客服
2022-04-11
2.6K0
Instaloctrack:一款针对Instagram的强大OSINT公开资源情报工具
Instaloctrack是一款针对Instagram的功能强大的OSINT公开资源情报收集工具。在该工具的帮助下,广大研究人员可以轻松收集目标Instagram账户配置文件上可用的所有地理标记位置,以便将其绘制在地图上,然后将其转储到JSON中。
FB客服
2022-04-11
7810
如何使用lazyCSRF在Burp Suite上生成强大的CSRF PoC
lazyCSRF是一款功能强大的Burp Suite插件,该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoC。Burp Suite是一个拦截HTTP代理,是执行Web应用程序安全测试的强大工具。
FB客服
2021-12-08
1.1K0
FreeBuf周报 | 成人视频网站StripChat数据库泄漏;macOS曝出零日漏洞
各位FreeBufer周末好~以下是本周的「FreeBuf周报」,我们总结推荐了本周的热点资讯、优质文章和省心工具,保证大家不错过本周的每一个重点!
FB客服
2021-11-23
3.6K0
从JWT源码审计来看NONE算法漏洞(CVE-2015-9235)
研究JWT漏洞时,发现文章并不多,而且大多数都是黑盒测试,遂出现了本文,大佬们勿喷。
FB客服
2021-11-16
1.9K0
如何使用ODBParser搜索Elasticsearch和MongoDB目录数据
ODBParser是一款公开资源情报工具,可以帮助广大研究人员从Elasticsearch和MongoDB目录中搜索、解析并导出我们感兴趣的数据。除此之外,这款工具还可以帮助广大研究人员从开放数据库中搜索出曝光的个人可标识信息(PII)。
FB客服
2021-11-16
9970
如何使用XLMMacroDeobfuscator对XLM宏进行提取和反混淆处理
XLMMacroDeobfuscator一款针对XLM宏的安全工具,该工具可以帮助广大研究人员提取并解码经过混淆处理的XLM宏(Excel 4.0宏)。该工具可以使用一个内部XLM模拟器来解析宏文件,而且无需完整执行目标宏代码。
FB客服
2021-10-11
1.6K0
KnockOutlook:一款针对Outlook的红队安全研究工具
KnockOutlook是一款基于C#开发的工具,该工具可以跟Outlook的COM对象进行交互,并且能够帮助红队安全研究人员执行各种安全操作。
FB客服
2021-10-11
1.1K0
sx:协助安全人员进行快速扫描
sx是一款基于命令行接口的网络扫描器,该工具严格遵循UNIX的设计理念,而该项目的主要目标是为广大研究人员提供一个简洁、快速、易于使用的强大网络扫描器。
FB客服
2021-09-16
4690
如何使用TvypoDetect检测相似域名
TypoDetect是一款功能强大的域名检测工具,可以帮助广大蓝队研究人员、安全运维人员和企业安全部门检测跟自己域名相似的主动变异型域名,以防止网络犯罪分子利用这些域名进行网络欺诈活动,比如说网络钓鱼攻击或短信欺诈活动。
FB客服
2021-07-03
1.7K0
VAST:一款功能强大的跨空间和时间的可视化网络遥测引擎
VAST是一款功能强大的跨空间和时间的可视化网络遥测引擎,可用于数据驱动的安全审查活动中。
FB客服
2021-07-02
5970
奇奇怪怪IoT入侵系列:“黑掉”你的空气炸锅?
IoT安全为什么在近几年愈发引起大众关注?从智能门锁到咖啡机、打印机,这些关于日常生活和工作的小设备,由于随处可见却又安全防护薄弱,成为黑客攻击的跳板。
FB客服
2021-04-29
3480
安全研究 | 使用Horusec仅需一行命令即可扫描项目中的安全漏洞
Horusec是一款功能强大的开源工具,它可以帮助广大研究人员执行静态代码分析,以识别开发过程中的安全缺陷。目前,Horusec支持分析的语言有:C#、Java、Kotlin、Python、Ruby、Golang、Terraform、Javascript、Typescript、Kubernetes、PHP、C、HTML、JSON、Dart。该工具可以在项目的所有文件以及Git历史记录中搜索密钥泄漏和安全漏洞。Horusec可以由开发人员通过命令行接口使用,也可以由DevSecOps团队在CI/CD mats上使用。
FB客服
2021-03-29
1.1K0
如何使用OpenCVE在本地进行CVE漏洞探究
OpenCVE,之前也被称为Saucs。OpenCVE是一个针对CVE漏洞的研究平台,广大安全研究人员可以在本地搭建该平台,并导入CVE漏洞列表,然后就可以直接在本地搜索关于目标CVE漏洞的详细信息了,比如说相关厂商、产品、CVSS和CWE等等。
FB客服
2021-03-09
1.1K0
点击加载更多
社区活动
Python精品学习库
代码在线跑,知识轻松学
热点技术征文第五期
新风口Sora来袭,普通人该如何把握机会?
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品·最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档