WELCOME TO MY BLOG

摘要： 银狐团伙的攻击手法具有高度隐蔽性和技术对抗性，结合公开情报及微步在线研究数据，其核心攻击手法可归纳如下： 一、初始攻击向量 钓鱼攻击 邮件钓鱼：伪造"税务补贴"、"薪资调整"等主题邮件，附件携带加密恶意文件（如.zip、.docx），诱导用户执行（[[2]][[10]]）。 即时通讯钓鱼：通过微信、 阅读全文

摘要： 最近换了电脑，发现虽然有打包自己常用的Burpsuite运行包的准备，但是马上要用了，还是有些问题。所以我写一篇文章，下次要马上用的时候，不用到处去翻文章，到处去找插件。 准备运行包和插件 首先，把自己用得最顺手的Burpsuite运行文件以及激活工具放到一个文件夹下面。像下面这样： 然后准备好自己 阅读全文

摘要： 通过信息收集，来到一个站点，使用微信扫码登录 输入学生姓名、学号（直接百度就可以找到） 上面的手机号直接输入自己的，发送验证码 点击登录，网页上面就直接进到学生的登录界面了 进来以后就对各个功能点测试，最后在个人信息界面，前端什么都没有，点击打印证明 可以看到学生的学号、身份证号等信息 同理如果用教 阅读全文

摘要： 来到登录界面 注意看下面箭头所指的内容 点击序号1会跳转到 http://xxxx.xxxx.edu.cn/#/pages/privacy/privacy?url=http%3A%2F%2Fhzhsvr11.xiaofu.site%2Fzbzh_service_policy.html 提示404文件 阅读全文

摘要： 首先在下面这个学校官方地址可以下载一份操作这个平台的使用手册首先在下面这个学校官方地址可以下载一份操作这个论文平台的使用手册 登录成功 根据学号加学号后6位的规则寻找学号 利用学号+学号后6位登录成功 2xxxxx043178+043178 点击检测报告可以查看下载学位论文 同时还可以根据学号的规则 阅读全文

摘要： 最近把我以前面试hvv以及一些厂商还有看到的一些面试题都整理了一下，基本上都有答案，但是自己的回答难免会有问题或者比较浅显，只是给要找工作的小伙伴一点参考，望大佬勿喷！ 1、自我介绍 我的专业是xxx,我现在是大x,我对常见的web漏洞的原理和利用比较熟悉,熟悉linux的suid,sudo等提权方 阅读全文

摘要： 使用百度找到该学校泄露的学号以及身份证号，使用学号加身份证号后六位登录成功 点击申报 按照下图输入xss的弹窗payload 知识点补充： <script>alert(1)</script>//会出现一个弹窗 <script>prompt(1)</script>//会出现一个提示框 <script> 阅读全文

摘要： 在我们使用一些导航地图的时候，在创建web服务的API时候，就可能会把我们的key值或ak值（百度地图的密钥叫ak）给泄露出来，像这个可以直接在改站点的网页源代码检索泄露出来的key或者ak值 在一个系统的网页前端发现了ak 验证的payload: 高德webapi： https://restapi 阅读全文

摘要： 官方的项目库在2024年已经删库了，所以首先选择下面这个地址的ARL项目 https://github.com/huntingsec/ARL-Limited-Edition 在原项目的基础上，增加了指纹库，以及子域和目录的爆破字典。 一、选择购买vps 我建议搭建在vps服务器上面，不会混淆自己的本 阅读全文

摘要： 0xShe网络安全导航 安全平台，这个模块有一些安全社区 挖src的这里放了很多的src平台 这里也有一些好用的工具 阅读全文