渗透测试

独行soc8 小时前
linux·科技·安全·网络安全·职场和发展·渗透测试·区块链
2025年渗透测试面试题总结-渗透测试工程师(题目+回答)安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
(天津)鸿萌数据安全1 天前
网络安全·渗透测试
渗透测试: 主动全面深入地测试企业网络安全, 防范千里之堤毁于蚁穴渗透测试(Penetration Testing)是一种模拟黑客攻击的安全评估方法,旨在检测计算机系统、网络或应用中的安全漏洞。通过授权的攻击尝试,渗透测试可以识别潜在的安全风险,帮助组织提前发现并修复漏洞,从而提升整体安全性。
qq_243050794 天前
linux·网络安全·黑客·渗透测试·模糊测试·kali linux·黑客工具
aflplusplus:开源的模糊测试工具!全参数详细教程!Kali Linux教程!(三)这是 afl-fuzz 的辅助应用程序。它可以作为 gcc 和 clang 的直接替代品,让您使用所需的运行时工具重新编译第三方代码。
qq_243050795 天前
linux·web安全·网络安全·黑客·渗透测试·模糊测试·kali linux
aflplusplus:开源的模糊测试工具!全参数详细教程!Kali Linux教程!(一)American fuzzy lop 是一款模糊测试工具,它采用编译时插桩和遗传算法,自动发现干净、有趣的测试用例,这些用例会在目标二进制文件中触发新的内部状态。这显著提升了模糊测试代码的功能覆盖率。该工具生成的紧凑合成语料库也可用于为未来其他更耗费人力或资源的测试方案提供种子。
WHOAMI_老猫5 天前
javascript·web安全·渗透测试·xss·漏洞原理
xss注入遇到转义,html编码绕过了解一哈先正常留言查看返回情况可以看到我们输入的 url 放到了<a></a>中,一个放在href中,一个放到tracker.track()中
独行soc5 天前
linux·科技·安全·面试·职场和发展·渗透测试
2025年渗透测试面试题总结-字节跳动[实习]安全研发员(题目+回答)安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
恰薯条的屑海鸥6 天前
学习·安全·web安全·渗透测试·网络安全学习
零基础在实践中学习网络安全-皮卡丘靶场(第十一期-目录遍历模块)经过前面几期的内容我们学习了很多网络安全的知识,而这期内容就涉及到了前面的第六期-RCE模块,第七期-File inclusion模块,第八期-Unsafe Filedownload模块。
vortex58 天前
安全·web安全·网络安全·渗透测试
Nuclei PoC 编写详解:从入门到实践Nuclei 是一个基于 YAML 的开源漏洞扫描工具,由 ProjectDiscovery 开发,广泛应用于网络安全领域,用于自动化检测 Web 应用、API、服务器等目标中的漏洞。Nuclei 的核心在于其模板(PoC),通过定义请求和匹配规则,快速识别漏洞并提取关键信息。编写高质量的 Nuclei PoC 模板需要深入理解其语法、逻辑以及漏洞特征。本文将详细介绍 Nuclei PoC 的编写方法,包括模板结构、匹配器、提取器、调试技巧和实际案例,帮助安全从业者快速上手并编写高效的 PoC。
恰薯条的屑海鸥8 天前
数据库·sql·安全·web安全·渗透测试·网络安全学习
SQL注入篇-sqlmap的配置和使用在之前的皮卡丘靶场第五期SQL注入的内容中我们谈到了sqlmap,但是由于很多朋友看不了解命令行格式,所以是纯手动获取数据库信息的
轨迹H9 天前
网络协议·网络安全·渗透测试·ctf·cve
【春秋云镜】CVE-2023-2130漏洞复现exp在SourceCodester采购订单管理系统1.0中发现了一项被分类为关键的漏洞。受影响的是组件GET参数处理器的文件/admin/suppliers/view_details.php中的一个未知函数。对参数id的操纵导致了SQL注入。可以远程发起攻击。
恰薯条的屑海鸥10 天前
学习·安全·web安全·渗透测试·网络安全学习
零基础在实践中学习网络安全-皮卡丘靶场(第十五期-URL重定向模块)本期内容和之前的CSRF,File inclusion有联系,复习后可以更好了解介绍不安全的url跳转
痴人说梦梦中人10 天前
网络安全·渗透测试·自动化·api测试·漏洞利用·信息搜集
SwaggerFuzzer:一款自动化 OpenAPI/Swagger 接口未授权访问测试工具在现代接口安全测试中,自动化检测未授权访问漏洞已成为不可或缺的流程。SwaggerFuzzer 受启发于常见安全测试流程中对 Swagger 自动化利用的需求,适合搭配 BurpSuite 使用。是一款专为渗透测试人员打造的轻量级命令行工具,支持对 OpenAPI 3.0 / Swagger 接口文档进行解析、测试并生成详细报告,快速定位安全隐患。
恰薯条的屑海鸥10 天前
网络·学习·安全·web安全·渗透测试
零基础在实践中学习网络安全-皮卡丘靶场(第十四期-XXE模块)本期内容涉及到很多前面的内容,因此复习后可以更好的了解本期内容介绍XXE -"xml external entity injection"即"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 具体的关于xml实体的介绍,网络上有很多,自己动手先查一下。 现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的
炫彩@之星10 天前
渗透测试·php反序列化漏洞
【Pikachu】PHP反序列化RCE实战在理解 PHP 中 serialize() 和 unserialize() 这两个函数的工作原理之前,我们需要先了解它们各自的功能及其潜在的安全隐患。接下来,我会对相关概念做更详细的扩展解释。
恰薯条的屑海鸥11 天前
数据库·学习·安全·web安全·渗透测试·网络安全学习
零基础在实践中学习网络安全-皮卡丘靶场(第十六期-SSRF模块)最后一期了,感谢大家一直以来的关注,如果您对本系列文章内容有问题或者有更好的方法,请在评论区发送。介绍
恰薯条的屑海鸥11 天前
网络·学习·安全·web安全·渗透测试·csrf·网络安全学习
零基础在实践中学习网络安全-皮卡丘靶场(第九期-Unsafe Fileupload模块)(yakit方式)本期内容并不是很难,相信大家会学的很愉快,当然对于有后端基础的朋友来说,本期内容更加容易了解,当然没有基础的也别担心,本期内容会详细解释有关内容
恰薯条的屑海鸥11 天前
学习·安全·web安全·渗透测试·网络安全学习
零基础在实践中学习网络安全-皮卡丘靶场(第十期-Over Permission 模块)经过这么长时间的学习,我相信大家已经有了很大的信心,有可能会有看不起的意思,因为皮卡丘是基础靶场,但是俗话说"基础不牢,地动山摇",所以还请大家静下心来进行学习
痴人说梦梦中人12 天前
web安全·网络安全·渗透测试·php·工具
自建 dnslog 回显平台:渗透测试场景下的隐蔽回显利器在渗透测试与红队评估过程中,DNS 外带(DNS Exfiltration) 是一种常见且隐蔽的通信通道。由于多数目标环境默认具备外网 DNS 解析能力,即便在 无回显、无文件上传权限 的条件下,仍可通过 DNS 请求实现:
独行soc13 天前
linux·安全·web安全·面试·职场和发展·渗透测试·区块链
2025年渗透测试面试题总结-腾讯[实习]玄武实验室-安全工程师(题目+回答)安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。