首页
学习
活动
专区
工具
TVP
发布

渗透云笔记

欢迎关注微信公众号渗透云笔记,体验最新文章,接受最新文章
专栏作者
265
文章
443314
阅读量
130
订阅数
在APP的渗透测试中,检查这些 赏金不是简简单单?
常规的APP检查项目中,每个安全测试周期里,肯定是要覆盖客户APP的检查,在一些SRC里 企业里 都是必不可少的一环。
天钧
2023-11-10
2420
0day漏洞预警-用友文件服务器认证绕过-华天动力oa SQL注入
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
天钧
2023-09-06
4370
hackerone漏洞挖掘之云存储任意文件上传
在挖掘hackerone的项目时,发现了一个公开的S3列表。使用了ARL和fofa收集资产,在挖掘此类的云安全漏洞的时候,可以重点关注一些子域名前缀。快速辨别它是否存在公开访问的一个情况
天钧
2023-09-06
3130
国外大佬的信息收集(侦查)过程
文章提示;这篇文章很不错,从国外机翻过来的,我十分建议你去看原文,因为机翻,真的对有些意思出现偏差,有点难受,如果想快速学习,看本篇机翻的还是可以的。对于其中工具的选择,国内国外其实还是有着一些差异,但是思路确实不错。
天钧
2023-03-08
8910
MobSF一款可以扫描APP漏洞的平台
第一次接触MobSF,还是在实习工作中,来了个APP渗透的活,那时候还不太了解,领导说,直接拿MobSF扫描一下不就好了,后来一用就变成了常用的APP分析工具
天钧
2023-03-08
9670
斗象BAS DayBreak 破晓-自动化渗透测试工具
填写好License,就直接可以使用生成的密码登录了,账号admin。感觉斗象每次的产品UI都搞在我心吧上了。哈哈哈
天钧
2022-12-18
8530
使用ADB链接夜神的方式与吐槽
最近在研究APP,因为真机在链接过程中有点不稳定,就想着虚拟机链接adb然后搞一搞,搞坏了还能还原。
天钧
2022-12-18
3150
金融级漏洞挖掘思路总结
朋友问我为啥不更新了,我说天天转发这个转发那个。时间一多大家都烦躁,不如不发,或者发一些自己在项目上的一些问题,最近入职了新的公司,没错,终于找到了工作,太不容易了。
天钧
2022-12-18
4580
一款用GO语言编写的JS爬取工具~
功能类似于JSFinder,开发由来就是使用它的时候经常返回空或链接不全,作者还不更新修bug,那就自己来咯
天钧
2022-12-18
1.5K0
工作中对溯源反制有帮助的两个小脚本
介绍两个小脚本,在溯源的工作中,使用频繁,根据客户的需求来,我在项目上客户要求,不管啥IP,只要有攻击行为就开始溯源。一下子工作量就上来了,每天都拿到大量的IP,项目快结束的时候,直接过来了全部的IP。
天钧
2022-12-18
6740
hackerone资产获取,并接入扫描器做自动化监控
然后设置定时任务接入扫描器 如red+xray ,nuclei,发现新资产直接梭哈,不不就OK了吗?(有利有弊,所有的扫描流量好像一直不小)
天钧
2022-09-03
7490
rengine更新至1.1,居然增加了自定义的工具
编辑 dotenv 文件, 请务必更改 postgresql POSTGRES_PASSWORD 的密码!
天钧
2022-05-17
5960
GITHUB上的一些DevSecOps
最近一直在完善自己的扫描器和攻击链,所以也一直在GITHUB上看自动化的一些知识,脑壳痛
天钧
2022-05-17
5620
用于查找 Spring4Shell 和 Spring Cloud RCE 漏洞的全自动、可靠且准确的扫描程序
免责声明:此文所提供的文章内容,只为工具源码学习内容或网络安全人员(运维人员,网站管理者)对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考。
天钧
2022-05-17
9990
推荐一款自动向hackerone发送漏洞报告的扫描器
自从阿浪写了那个工具,总感觉没有web页面就是没有灵魂,然后在GitHub闲逛的时候,发现了这一款工具,用了一个多月,效果还行,可以平替,唯一的缺点就是搭建起来有些困难,需要修改文件来达到国内 搭建。
天钧
2022-04-01
7800
使用reconFTW自动化侦察数据
本来是想长篇大论的讲下,但是好像也没啥用啊,这是我机子上一个补充资产的一个工具/下面是机器翻译.所以大家忍耐下哈.跟阿浪那个其实异曲同工
天钧
2022-04-01
3580
工具功能加强-对ARL的改造
https://github.com/loecho-sec/ARL-Finger-ADD
天钧
2022-04-01
3.3K0
Golang-Gin 框架写的免杀平台,内置分离、捆绑等多种BypassAV方式
Golang-Gin 框架写的免杀平台,内置分离、捆绑等多种BypassAV方式。
天钧
2021-12-01
1.3K0
常规登录框弱口令测试小Tips
弱口令就简单的测试出来了,省的BP爆破,但是对于高强度的密码,还是BP爆破要来的好一些
天钧
2021-11-19
1.2K0
[翻译]盲SSRF利用链术语表
SSRF(Server-Side Request Forgery:服务请求伪造)是一种由攻击者构造,从而让服务端发起请求的一种安全漏洞,它将一个可以发起网络请求的服务当作跳板来攻击其他服务,SSRF的攻击目标一般是内网。当服务端提供了从其他服务器获取数据的功能(如:从指定URL地址获取网页文本内容、加载指定地址的图片、下载等),但是没有对目标地址做过滤与限制时就会出现SSRF。
天钧
2021-10-08
1.8K0
点击加载更多
社区活动
Python精品学习库
代码在线跑,知识轻松学
【玩转EdgeOne】征文进行中
限时免费体验,发文即有奖~
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品·最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档