腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

黑白安全

黑白网成立于2014年，基于丰富的技术和经验，提供各类技术性动态。官网:heibai.org.cn

专栏作者

1299

文章

2163003

阅读量

250

订阅数

afrog 一款快速稳定 PoC可定制化的漏洞扫描器

网络安全安全 http html

afrog 是一款性能卓越、快速稳定、PoC 可定制的漏洞扫描工具，PoC 包含 CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意文件读取、命令执行等多种漏洞类型，帮助网络安全从业者快速验证并及时修复漏洞。

2022-09-13

2.8K0

为什么XSS这么有生命力？

html html5 xml 网络安全网站

今天的HTML是大量网页信息的基本构建块。HTML旨在提供一种真正可扩展的用于布局的语言编写方式，它非常的灵活且不会受到太多的的约束。为什么发展至今，相较于SGML、XML，HTML可以获得成功，并且在全世界范围内获得更广泛的应用呢？毫无疑问，这与HTML本身的灵活性与宽容性的特性脱离不了关系。这很好理解，人们在选择使用一种语言进行内容创作时，相较于考虑选择使用何种语言，考量这种语言是否更合规，更应该考虑的是想要创作的内容本身是否是优质且利于人们学习发展的。

2022-04-26

4520

我如何在15分钟内使用对比CE实现$ 600的Bug赏金– CVE- 2019-8442

安全 https unity 网络安全 html

我们生活在充满活力的经济中，该经济正在不断开发新的创收方式。Bug赏金计划使我着迷，例如BugCrowd上的Atlassian 。从这些程序中获得切实的回报并非易事。经过多年的参与，我可以证明标准已经很高。花费时间和精力来解决每个程序和涉及的应用程序范围。

2022-04-26

9990

嵌入式浏览器安全之网易云音乐RCE漏洞分析

安全 html javascript 网络安全

前面章节讲解了应用程序是如何与网页进行交互的，接下来章节分析通用软件历史漏洞，通过真实漏洞案例分析去了解嵌入式浏览器安全的攻击面。本章节讲的是网易云音乐rce漏洞分析，一个经典的XSS to RCE漏洞。

2022-04-26

1.8K0

基于URL跳转与XSS组合利用的钓鱼分析（以QQ空间某恶意链接为例）

php https 网络安全安全 html

写在前面本案例写于6月30日（HW收尾阶段），当时本想着发出来。结果忙着忙着就忘了… 今天看到先知社区上有写一篇也是关于QQ空间恶意跳转，感觉他写的这块和我碰上的有些差异，故拿出来说一说~分析该恶意链

2022-04-26

5740

由JSON CSRF到FormData攻击

json 安全网站 https html

首先：你们必须知道CSRF攻击，如果不知道，那么这里是一个简短的介绍：CSRF是一种攻击，它迫使最终用户在当前对其进行身份验证的Web应用程序上执行不需要的操作。CSRF攻击专门针对状态变化请求，CSRF攻击可以强制用户执行状态转换请求，如转移资金，更改其电子邮件地址，甚至危及整个Web应用程序。来源：https://www.owasp.org/index.

2022-04-26

1.7K0

怎样使用Python打造免杀payload

html python windows tcp/ip

在为公司实施信息安全防御方案的时候，大家一般会将防病毒软件作为方案中的一部分，这绝对是一个明智之举。我们可以通过防病毒软件抵御大部分病毒。但是，我们要知道，防病毒软件只是起到了一定的保护作用，仅仅靠防病毒手段保证终端计算机的安全，还是远远不够。一个完善的信息安全方案应该是一个全方位的防护体系，应该包括补丁更新服务、防火墙、杀毒软件、主机物理安全、身份认账管理

2022-04-26

1.1K0

安卓手机远控

html android tcp/ip

当然,所有的实验均是在模拟器上进行,属于局域网.如果实现外网手机远控,可以在服务器上进行.

2022-04-26

2.3K0

通过密码重置功能构造HTTP Leak实现任意账户劫持

html http tcp/ip 网络安全安全

本文分享的是，作者在参与某次漏洞邀请测试项目中，发现目标应用服务的密码重置请求存在HTML注入漏洞（HTML injection），通过进一步的HTTP Leak攻击构造，获取到账户的密码重置Token，以此间接实现任意账户劫持。（出于保密原则，文中涉及到的目标应用服务用app.com代替）。密码重置请求中的HTML注入在针对目标应用服务的密码重置功能测试过

2022-04-24

4190

蚁剑客户端RCE挖掘过程及源码分析丨蚁剑第二弹来临

html javascript 网络安全

接着我们复测了之前的RCE,发现该漏洞已被过滤修复，我们来简单分析一下是怎么修复的。

2022-04-24

1.7K0

xss漏洞详解

网络安全 html php

前言渗透过程中，有时候遇某些网站，明明检测到有xss漏洞，但是盲打以后，收到的cookie还是不能登录后台，大多数的原因都是因为对方的cookie关键参数开启了httponly，导致你获取到的cookie参数不全，所以没法登录。今天和大家分享一次绕过httponly拿后台的思路。我们经常会用<script>alert('1')&l

2022-04-24

7140

Discuz v3.4 xss漏洞排行页面存储型XSS漏洞

php html 网络安全安全 http

简要分析source/module/misc/misc_ranklist.php:166Discuz v3.4 xss漏洞<?php function getranklist_members($off

2022-04-24

1.5K1

FinalRecon：一款多功能网络侦查OSINT工具

linux SSL 证书网络安全 html python

FinalRecon是开源情报收集工具，这是一款多合一的多功能网络侦查工具。该工具采用Python开发，遵循模块化架构，可为广大研究人员的网络侦查活动提供帮助。工具截图功能介绍FinalRecon可提供如下所示的详细信息：Header信息WHOIS查询SSL证书细节网络爬虫注：该工具支持的模块功能仍在添加中…支持平台1、 Kali Linux v2019.1

2022-04-24

3940

Arjun v1.3：一款功能强大的HTTP参数挖掘套件

编程算法 http json python html

今天给大家介绍的是一款名叫Arjun的开源工具，广大研究人员可以利用该工具来对HTTP参数进行提取和分析。功能介绍

2022-04-24

6900

[CVE-2021-26085] Confluence /s/路径的信息泄露（受限）

https php go 网站 html

未经认证的攻击者可访问Confluence的WEB-INF和META-INF目录下的任意文件（包括可能的凭据信息）。这个漏洞我理解是CVE-2020-29448补丁的绕过；跟CVE-2019-3394的危害程度一样，最大可能的危害是读取可能存在的atlassian-user.xml文件（泄露LDAP凭据但这种配置方式已被弃用），但是不需要认证。

2021-09-07

2.9K0

入侵检测之sqlmap恶意流量分析

shell php html linux 编程算法

接着传递一个数组，尝试爆绝对路径，这都是老版本的办法了，现在行不通，这个可以当作一个行为特征来标记一下

2021-09-07

1K0

干货｜邮件钓鱼攻击学习

html 命令行工具 https http 网络安全

在常年攻防演练以及红蓝对抗中常被用于红方攻击的一种进行打点的方式，由于本人只是个安服仔，接触的比较少（但也不能不学），就有了这篇文章，参考各位大佬的姿势总结一下，顺便让好哥哥们复习一下基础。

2021-09-07

1K0

在吗宝贝？你点开这个网址看看[打开网站偷拍照片]

刷抖音期间，偶然发现是2020年发布的文章点开一个网址我被记录了ip还偷拍了照片，被人实现了具体功能。

2021-09-07

7080

在吗宝贝？你点开这个网址看看[打开网站偷拍照片]

刷抖音期间，偶然发现是2020年发布的文章点开一个网址我被记录了ip还偷拍了照片，被人实现了具体功能。

2021-05-01

3K0

哆啦靶场XSS挑战赛1-10关攻略

网络安全 html java

哆啦集成了网络上常见的靶场与GitHub上比较好的靶场系统，配合一键启动模式，省去你去收集再进行搭建的时间，方便你更加快速的学习信息安全。

2020-05-07

1.6K2

点击加载更多

社区活动

RAG七天入门训练营

鹅厂大牛手把手带你上手实战

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态