Linkpoc

摘要： #Actuator Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块, 但如果没有做好相关权限控制， 非法用户可通过访问默认的执行器端点（endpoints）来获取应用系统中的监控信息。 字典 /autoconfig /configprops /beans / 阅读全文

摘要： 项目地址 https://github.com/TophantTechnology/ARL 简介 斗象TCC团队正式发布「ARL资产安全灯塔」开源版，该项目现已上线开源社区GitHub。ARL旨在快速侦察与目标关联的互联网资产，构建基础资产信息库。协助甲方安全团队或者渗透测试人员有效侦察和检索资产， 阅读全文

摘要： HTTP请求走私 HTTP请求走私是一种干扰网站处理HTTP请求序列方式的技术，使攻击者可以绕过安全控制，未经授权访问敏感数据并直接危害其他应用程序用户。 HTTP走私攻击实例 CVE-2018-8004 Apache ATS 6.0.0版本至6.2.2版本和7.0.0版本至7.1.3版本中存在安全 阅读全文

摘要： 上文地址 https://www.cnblogs.com/Y0uhe/p/15368991.html 关于我被劫持的分析 DNS劫持也叫DNS污染。 上文的方法只能劫持同网段（同路由）下IP 那为什么我没有在同网段下也被劫持了 我们去tracert一下百度，看解析走了哪些环节 在我本地开启IPv6协 阅读全文

摘要： 网站接受代码 <?php $content = $_GET['a']; if(isset($content)) { file_put_contents('tmp/cookie.txt',$content); }else{ echo 'no date input'; } ?> 构造钓鱼代码 <scri 阅读全文

摘要： 博客园已设置httponly来限制js读取cookie，但仍可以进行跳转钓鱼等危险操作 阅读全文

摘要： ###本文仅供学习探讨，切勿用于非法行为。 ###大型站点测试为了防止影响业务最好不要弹窗，使用console.log输出 XSS弹窗 <script>alert(/xss/)</script> <script>confirm('xss')</script> <script>prompt('xss' 阅读全文

摘要： 转载 原项目地址：https://github.com/LandGrey/SpringBootVulExploit Spring Boot介绍 Spring Boot是由Pivotal团队提供的全新框架，其设计目的是用来简化Spring应用初始搭建以及开发过程。该框架使用了特定的方式来进行配置，从而 阅读全文

摘要： BSRC 百度第三届挖洞大赛 荣获 团队第四荣誉证书 第五届美团网络安全高校挑战赛-漏洞挖掘赛 荣获 个人第五荣誉证书、团队冠军奖杯 工联众测平台突出贡献 个人荣誉证书 荣获 高级安全专家荣誉证书 阅读全文

该文被密码保护。 阅读全文