2024年4月14日
五种用来挖掘API端点的方法
简介 在渗透目标时,最值得测试的部分莫过于 API,API 是动态的,它们比应用程序的其它部分更新的更加频繁,并且负责许多后端繁重的工作。在现代应用程序中,我们通常会看到 REST API,当然也会有...
工具
2024年3月28日
【尝鲜】免费的开源图片翻译神器!不可以涩涩哦~
前言 骨哥有个朋友(当然,不是我本人了)前几天问骨哥有没有好用的图片翻译工具,嘿,还真让他问对人了~今天我就把这款工具推荐给各位,目前该工具在Github上已经收获4k Star,用的好的童鞋们,记得...
2024年3月6日
【工具推荐】服务器端原型污染检测插件
概述 原型污染最近已成为网络安全领域的流行漏洞,当攻击者利用 JavaScript 原型继承的性质来修改对象的原型时,就会出现此类漏洞。 如果你还不知道什么是服务器端原型污染漏洞(Server-Sid...
2024年2月20日
开箱即用的Payloads
Payloads 字典: https://github.com/swisskyrepo/PayloadsAllTheThings https://github.com/cujanovic/Markdo...
2024年2月7日
2024打工人常备的6款AI神器
一秒抠图,秒变抠图达人 一键秒抠图,秒变抠图达人,精准捕捉轮廓,细腻呈现毛发。Clipdrop,让抠图变得异常简单! https://clipdrop.co/ 在线文字转语音 TTSMaker是一个免...
2024年2月1日
自动SSRF漏洞扫描与利用工具
前言 有没有一种工具,既可以自动检测SSRF漏洞,同时又可以对其进行利用呢?答案是肯定的,那就是SSRFmap。 SSRFmap介绍 SSRFmap是由@swisskyrepo开发的一款自动SSRF漏...
2024年1月31日
BurpSuite Bambda 新功能 & BurpBounty Pro 2.7.0
Bambda 前段时间BurpSuite 2024.1.1发布(官方还是推荐稳定版的2023.12.1.3) BurpSuite这次更新,最大的特色是在HTTP history 中增加了一项名为“B...
2024年1月26日
2023年度精选文章
精选文章根据2023年阅读及分享数量由高至低排序筛选得出,分为漏洞系列、CTF系列和工具系列三个类别。 1.漏洞相关 【$ 20,000】通过发送消息黑掉任意公司-CVE-2021–34506...
2024年1月25日
利用工具从Cloudflare中发现源IP
为什么要找源IP? 作为渗透测试人员/赏金猎人,如果找到源 IP,我们就不需要绕过任何 Cloudflare WAF,从而可以直接将查询注入到源服务器,如下图所示: 如何查看网站是否使用Cloudfl...
2024年1月23日
手把手逆向分析混淆 JS 代码&处理签名哈希并实现工具化
在最近的一个漏洞赏金项目中,白帽小哥发现该网站在给每一个请求时(包括GET参数值)签名,从而阻止URL修改,他希望找出他们是如何实现这一点,并尝试找到绕过的方法。 白帽小哥在修改URL和GET参数值时...