文章总结: 本文介绍了在SRC活动中自动化查找目录遍历漏洞的方法,使用Burp插件OneScan和RouteVulScan,通过在每个目录后添加斜杠匹配Inde
2025-12-2231评论
网络安全文章
SRC中自动化查找目录遍历获取赏金
2025-12-2231评论
专题
(1)篇
WordPress 实用代码
WordPress 实用代码
专题
(0)篇
WordPress 插件
WordPress 插件
专题
(0)篇
Web前端
Web前端
专题
(0)篇
WordPress 常见问题
WordPress 常见问题
网络安全文章
2025-12-2231评论
网络安全文章
怎么开始挖SRC?
文章总结: 本文指导如何开始挖SRC漏洞,建议善用AI工具但保持独立思考。实力强的同学可学习操作系统和浏览器底层漏洞,掌握架构、工具和CVE复现;实力一般的同学
2025-12-2233评论
网络安全文章
Dify/Next.jsRCE漏洞复现
文章总结: 本文介绍了Dify/Next.jsRCE漏洞复现过程,涉及CVE-2025-55182和CVE-2025-66478两个漏洞。文章详细列出了受影响的
2025-12-22116评论
网络安全文章
利用雷池WAF捕获0dayPOC
文章总结: 文章介绍了如何搭建Flask指纹网站并利用雷池WAF捕获0dayPOC的完整流程。作者提供了详细的Flask应用搭建代码和配置方法,然后展示了如何安
2025-12-2247评论
网络安全文章
漏洞挖掘:众测src测试姿势总结
文章总结: 这篇文章总结了众测SRC测试中的常见漏洞挖掘姿势,包括支付漏洞、文件上传、XSS、验证码绕过、未授权访问、高危组件、越权和并发等类型漏洞的测试方法与
2025-12-227评论
网络安全文章
记录一次有意义的爬山之旅
文章总结: 这篇文章记录了作者从懈怠状态到参加爬山活动的过程,描述了从早上六点到晚上八点的天涯海角八仙墩之旅,以及与朋友舟哥的快乐经历,表达了人生就是一场体验的
2025-12-2239评论
网络安全文章
小程序的成名之作
文章总结: 这篇文章详细描述了针对小程序的渗透测试过程,包括利用账号滞空+默认密码接管管理员账户、发现存储桶ak/sk漏洞、爆破手机号加默认密码获取大量用户数据
2025-12-2226评论
网络安全文章
初探python栈帧逃逸
文章总结: 文章介绍了Python生成器的概念和栈帧逃逸技术。通过生成器的gi_frame属性和f_back方法,可以获取沙箱外的全局符号表,从而突破沙箱限制。
2025-12-2228评论
网络安全文章
ApacheActiveMQRCE漏洞复现(CNVD-2023-69477)
文章总结: ApacheActiveMQ存在远程代码执行漏洞CNVD-2023-69477,影响5.18.3以下多个版本。该漏洞源于默认开放的61616端口未对
2025-12-2243评论
网络安全文章
SharpADWS–滥用ADWS协议枚举ActiveDirectory
文章总结: SharpADWS是一个通过ADWS协议而非直接LDAP来枚举和操作ActiveDirectory的红队工具。它利用ADWS协议在TCP9389端口
2025-12-2238评论
网络安全文章
csexecute-assembly内存加载SharpWeb导出浏览器
文章总结: 本文介绍了使用SharpWeb工具通过CobaltStrike的execute-assembly命令进行内存加载执行浏览器数据导出的方法。作者比较了
2025-12-2245评论
网络安全文章
邮件安全相关的协议
文章总结: 本文详细介绍了四种邮件安全协议:SPF用于验证邮件发送者IP授权,DKIM通过数字签名验证邮件真实性,DMARC结合SPF和DKIM实现更严格的安全
2025-12-2246评论
网络安全文章
网络安全从业者如何走得更远?
文章总结: 这篇文章介绍了一个网络安全从业者副业圈子,强调商业敏锐度比技术深度更重要。作者提出了搞钱四差定律(信息差、认知差、执行差、竞争差)帮助判断机会,并提
2025-12-2229评论
网络安全文章
2025.11.26-威胁情报|GeoServerGetMapXXE注入漏洞
文章总结: GeoServerGetMap组件存在严重的XXE注入漏洞,目前已有POC和漏洞分析。该漏洞披露于2025年11月25日,危害等级被评定为严重。用户
2025-12-2239评论
网络安全文章
威胁情报|AstrBotJWT认证绕过漏洞
文章总结: AstrBot开源AI聊天机器人框架的旧版本(≤3.5.17)存在远程代码执行漏洞(CVE-2025-55449),由于硬编码JWT签名密钥,未授权
2025-12-22163评论
网络安全文章
威胁情报共享群
文章总结: 文章介绍了一个威胁情报共享群,作者创建了钉钉和飞书群,提供CVE漏洞情报、高危漏洞情报、天气预报、TenableCVEs和绿盟漏洞情报等多种推送服务
2025-12-2234评论
网络安全文章
安服|社工项目|邮箱钓鱼演练实施
文章总结: 这篇文章详细介绍了使用gophish工具进行邮箱钓鱼演练的完整流程,包括工具部署、邮件配置、模板创建、目标设置和活动启动等关键步骤。文章提供了两种邮
2025-12-2236评论
网络安全文章
安服|社工项目|WiFi钓鱼
文章总结: 本文介绍了WiFi钓鱼技术及两种主要工具wifiphisher和fluxion的使用方法。wifiphisher提供四种钓鱼模式,包括网络管理器连接
2025-12-2251评论
网络安全文章
样本分析|2025年某黑猫样本分析小记
文章总结: 这篇文章分析了2025年10月发现的一个黑猫恶意软件样本,该样本采用白加黑技术躲避杀毒软件检测,通过解密文件执行动态代码,具备进程注入、剪切板监测、
2025-12-22163评论
网络安全文章
资产发现之垂直关联
文章总结: 文章介绍了资产发现中的垂直关联技术,即从根域查找子域的过程。作者测试了多种被动和主动子域名发现工具,其中Amass在被动查找中发现最多子域名(692
2025-12-2226评论
网络安全文章
银狐远程控制软件优化记录
文章总结: 本文档汇总了银狐远程控制软件的多项优化记录,包括内存问题排查与修复、屏幕差异bug修复、内存优化方法、UDP断线重连问题解决、代理映射功能优化以及软
2025-12-2292评论
网络安全文章
商户社工钓鱼——应急响应
文章总结: 这篇文章分享了一起社会工程学钓鱼攻击的应急响应案例。运营人员被上游商户引导下载并运行伪装成图片的恶意程序,但由于杀毒软件的及时拦截,攻击未成功。文章
2025-12-2233评论
网络安全文章
数一数,你认识几家网络安全威胁情报中心?——应急工具
文章总结: 文章介绍了国内外的威胁情报中心及安全应急工具,包括微步在线、奇安信等十余家威胁情报平台,以及多引擎病毒扫描工具和在线沙箱分析平台。文章对比了各工具的
2025-12-2287评论
网络安全文章
【工商银行软件开发中心副总经理高鸿升】打造金融风控利器,工商银行加强“4E”能力建设
文章总结: 工商银行副总经理高鸿升撰文,阐述工行响应国家金融安全战略,通过加强4E能力建设打造金融风控利器。文章强调对风险早识别、早预警、早暴露、早处置,健全硬
2025-12-2244评论
网络安全文章
【加解密】yakit热加载新手进阶
文章总结: 本文详细介绍了使用yakit工具进行加解密热加载的进阶技术,包括AES服务端获取key、RSA加密、AES+RSA组合加密、DES规律key、明文加
2025-12-22119评论