摘要:
前言 当前ai的发展速度真的有点太快了,像openai、anthoropic以及国内的大模型mimo、ds等,模型能力越来越强,在网安领域的应用也是越来越多。无论是当下的电子数据取证、CTF竞赛、渗透测试,在ai工具的帮助下直接能“一人成军”。最有意思的是我看到有群友在群里说 “打线下赛搬一台服务器 阅读全文
posted @ 2026-05-27 16:04
Yhsec
阅读(1)
评论(0)
推荐(0)
摘要:
htmlspecialchars()函数 htmlspecialchars()函数:把预定义的字符转换为 HTML 实体 绕过原理: htmlspecialchars()函数把预定义的字符转换为HTML实体,从而使XSS攻击失效。但是这个函数默认配置不会将单引号和双引号过滤 只有设置了quotest 阅读全文
posted @ 2026-01-27 14:49
Yhsec
阅读(32)
评论(0)
推荐(0)
摘要:
简要 XSS-LABS可以本地搭建,如果不想本地搭建也可以在网上找在线的XSS-LABS靶场 博主这里用的是本地搭建的靶场,推荐在线靶场XSS-LAB在线靶场 只要出现弹窗即为挑战成功 level 1 有GET型传参,那么参数一般就为攻击点,进行测试,传入payload <script>alert( 阅读全文
posted @ 2026-01-27 08:40
Yhsec
阅读(69)
评论(0)
推荐(0)
摘要:
因为在强网杯s9中遇到了有关HTTP请求走私漏洞,所以想学习并复现一下这个漏洞 漏洞编号:CVE-2023-25690 漏洞核心原理 漏洞定义: HTTP请求走私(HTTP Request Smuggling)是一种利用前端服务器(如代理、负载均衡器)与后端服务器在解析HTTP请求时的不一致性,绕过 阅读全文
posted @ 2025-10-22 16:40
Yhsec
阅读(169)
评论(0)
推荐(0)
摘要:
web认证爆破 简单弱口令爆破 在burp里抓包单点爆破用户名和密码 带验证码的爆破 重点:抓包不放(验证码不变即绕过) 绕不过可以用 pkav http fuzzer Basic 认证爆破(base64 用bp中的迭代器) 打开发现是一个类似 basic 认证的框,输入数据抓包 发现是 base6 阅读全文
posted @ 2025-10-22 08:44
Yhsec
阅读(141)
评论(0)
推荐(0)
摘要:
题目来源:NSSCTF 题目方向:Web 题目类型:文件上传 2.0的做法和1.0相同,不过用.phtml绕过就行 1.这里去了解了一下.htaccess文件: htaccess文件是Apache服务中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮助我们实现:网页301 阅读全文
posted @ 2025-01-31 16:21
Yhsec
阅读(360)
评论(0)
推荐(0)
摘要:
题目来源:NSSCTF 题目方向:Web 题目类型:文件上传 1.发现是一个文件上传的题目,先上传一个一句话木马hack.jpg(因为题目前端有格式控制只能上传jpg文件) 2.用burp抓包后修改后缀名为.php绕过过滤 3.发包后显示: 4:再用蚁剑进行连接(注意url,文件在/upload中上 阅读全文
posted @ 2025-01-30 21:19
Yhsec
阅读(215)
评论(0)
推荐(0)
浙公网安备 33010602011771号