自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

不忘初心,护天下安全!

孜孜不倦,奋斗不息!

  • 博客(514)
  • 资源 (22)
  • 收藏
  • 关注

原创 永恒之蓝漏洞与勒索病毒Wannacry研究

永恒之蓝漏洞与Wannacry病毒家族

2022-04-27 19:48:20 4162

原创 隐侠必备网安利器之 Chrome 扩展(平台插件篇·一) 大揭秘,不可错过!

功能效果:您可以通过该扩展查看 Shodan 在给定网站/域上收集的所有信息, Shodan 扩展会告诉您网站的托管位置(国家、城市)、IP 所有者以及开放的其他服务/端口,还会自动检查 Shodan 是否有当前网站的任何信息,该网站是否还运行 FTP、DNS、SSH 或某些不寻常的服务。观前提示:以下排名不分先后,非专业测评,仅做个人分享,无法测评到插件每一个功能方面,个人心得纯属主观臆断,不代表插件真实能力水平和评价。X情报查询助手:简化查询流程,提升分析效率,帮助您在高强度的情报查询中发现可疑信息。

2024-12-26 20:07:40 619

原创 网安瞭望台第18期:警惕新型攻击利用Windows Defender绕过终端检测、CVE-2024-50379 漏洞利用工具分享

具体而言,拥有 “admin”“federation”“operations”“portal” 或 “steering” 这类特权角色的用户,只需向 deliveryservice_request_comments 端点发送特制的 PUT 请求,就能针对底层数据库执行任意 SQL 命令,属于 CWE-89 类漏洞,即 SQL 命令中特殊元素的不当中和(也就是 “SQL 注入”)。在最严峻的状况下,具备域管理员权限的攻击者,能在整个组织内部散播恶意 WDAC 策略,系统性地让所有端点的 EDR 传感器瘫痪。

2024-12-26 19:58:54 744

原创 隐侠必备网安利器之 Chrome 扩展(实用小工具篇·四) 大揭秘,不可错过!

工欲善其事,必先利其器。观前提示:以下排名不分先后,非专业测评,仅做个人分享,无法测评到插件每一个功能方面,个人心得纯属主观臆断,不代表插件真实能力水平和评价。另,各位大侠如有好用的扩展,也可以评论留言。下方窗口为主窗口,可以对需要操作的JSON进行相关操作,同时左右两窗口联动,鼠标悬停在右侧格式化的代码上,左侧窗口可以显示对应的代码,非常方便。功能效果:AIX智能下载器可高效实现下载管理,网页图片,视频,音频等内容的嗅探和下载,同时扩展集成多个网站的智能脚本,快速提取你想要的内容。个人心得:比较好用。

2024-12-26 19:57:44 300

原创 网安瞭望台第17期:Rockstar 2FA 故障催生 FlowerStorm 钓鱼即服务扩张现象剖析

本月早些时候,该委员会还发布了关于以符合 GDPR 的方式处理向非欧洲国家进行数据转移的指南,这些指南将接受公众咨询,截止日期为 2025 年 1 月 27 日,并指出 “第三国当局的判决或决定不能在欧洲自动得到认可或执行。他们的努力有助于在不断演变的数字安全环境中,网络安全专业人员与潜在攻击者之间持续的对抗。在网络安全的复杂战场中,近期出现了一个值得关注的动态:名为 Rockstar 2FA 的钓鱼即服务(PhaaS)工具包遭遇变故,意外推动了另一个新生服务 FlowerStorm 的猖獗扩张。

2024-12-23 20:04:16 885

原创 隐侠必备网安利器之 Chrome 扩展(实用小工具篇·三) 大揭秘,不可错过!

东方隐侠安全团队持续收集在渗透测试过程中常用、好用、实用的chrome插件,并按照实际渗透测试流程中的功能、作用、用法分类并测评,同时尽可能扩展相关知识内容。“开关”按钮代表是否在当前页面开启Easy Copy,蓝色为开启,灰色为关闭,按钮下下方可以选择启用的功能,自上而下依次为:允许复制、允许搜索和允许上下文菜单。左下角的爱心是评论按钮,会跳转到Chrome扩展商店去评论,右下角设置按钮可以删除那些启用功能的网站域名,让插件停止生效。功能效果:可破除网页的限制,直接用 Ctrl+C复制文字。

2024-12-23 20:00:43 305

原创 网安瞭望台第16期

它运用先进的文本分析与光学字符识别(OCR)技术,深入挖掘诸如 docx、xlsx、pptx、pdf、图像(jpg、png、gif)、压缩文件(zip、tar、rar)甚至视频文件等各类文档格式,确保在不同平台上提供全面的保护。同时,它提供了丰富的选项,如 “firebase” 可扫描 Firebase 配置文件中的 PII 和机密数据,“fs” 用于扫描文件系统配置文件等,还可通过 “--connection” 指定连接 YAML 本地文件路径,“--fingerprint” 提供指纹文件路径等。

2024-12-23 19:59:20 914

原创 网安瞭望台第15期:​Kali Linux 2024.4 重磅发布,助力网络安全工作再升级

近日,备受瞩目的 Kali Linux 2024.4 正式发布,带来了众多更新与亮点,为网络安全领域注入新动力。在工具方面,此次版本新增了 14 种工具。像 bloodyad 可用于 Active Directory 特权提升,助力挖掘权限相关安全风险;certi 能申请证书并发现模板,利于审计 ADCS 安全状况;chainsaw 可在 Windows 取证工件中快速搜索查找,服务于系统安全事件调查。还有 findomain 实现快速精准的域名识别,hexwalk 用于十六进制分析编辑等。

2024-12-18 19:37:11 1631

原创 隐侠必备网安利器之 Chrome 扩展(实用小工具篇·二) 大揭秘,不可错过!

东方隐侠安全团队持续收集在渗透测试过程中常用、好用、实用的chrome插件,并按照实际渗透测试流程中的功能、作用、用法分类并测评,同时尽可能扩展相关知识内容。现在将收集的各类chrome扩展分享给各位少侠,以助帮助各位少侠提升渗透测试效率,助力各位少侠渗透测试功力更上一层楼。简单明了,修改网站的默认编码,由于使用频率较低,Google Chrome在55版本以后删除了手动设置网站编码的功能。选中想要转换编码文字,右键选项中选择想要转换编码, Charset是全局性质的,d3coder是局部更改。

2024-12-18 19:36:07 185

原创 隐侠必备网安利器之 Chrome 扩展(隐蔽身份篇 · 三) 大揭秘,不可错过!

功能效果:可以按时自动更改用户代理字符串,更换为随机的字符串,还可以手动设置不同用户代理,隐藏真实用户代理,轻松地伪装成从不同设备上浏览的样子。注意:应用市场上此类扩展很多,这里只介绍我们正在使用或认为好用的,各位少侠选一个即可,也可以交流分享其他好用的扩展。设置页面分为:常规设置、生成设置和黑白名单设置,选项都非常简单,各位少侠按照自己的需求设置即可。非常好用,操作简单,强保护你的隐私,自动、全面、随机修改你的UA。右键扩展有个测试是否泄露WebRTC的页面,有兴趣可以去看看,测测自己是否泄露。

2024-12-16 22:31:42 157

原创 隐侠必备网安利器之 Chrome 扩展(实用小工具篇·一) 大揭秘,不可错过!

第一模块是选项操作模块,右上角有帮助选项和抓取列表选项,“帮助”即跳转帮助页面,“抓取详情”可以提取URL列表后,抓取每个URL并从每个页面提取数据。操作简单,最下面一行输入想要保存的名称,点击Save即可保存当前所有的选项卡,保存后会在上方形成列表,open是打开,add是增加当前页面,replace是用将现在所有的选项卡保存替换掉原来的选项卡。一个简单的爬虫工具,点击扩展即可,会弹出页面去抓取页面数据,操作十分简单,所见即所得,对新手用户十分友好。下载方式:chrome应用商店扩展程序。

2024-12-16 22:30:38 407

原创 网安瞭望台第14期:​德国利用黑洞行动阻断 30,000 台设备上的 BADBOX 恶意软件

此外,BSI 还指示国内所有用户超过 10 万的互联网服务提供商将流量重定向到黑洞,同时呼吁消费者立即断开受影响设备的网络连接,以防止恶意软件进一步作恶,减少潜在的数据泄露和网络欺诈风险,保护用户的个人信息和网络安全,维护正常的网络秩序。与此同时,BSI 也对消费者给出了建议,鉴于受影响的设备种类可能还涉及智能手机、平板电脑等,消费者一旦收到电信提供商基于 IP 地址监测发出的潜在感染通知,就要严肃对待,要么断开可能被感染设备的网络连接,要么干脆停止使用。许多网站在文件上传时会检查文件的扩展名。

2024-12-16 22:29:34 569

原创 网安瞭望台第13期:脸书系产品再遭全球性宕机风波

首先,其解决了关键的认证绕过漏洞(CVE-2024-11639,CVSS 评分 10 分),该漏洞能让远程未认证攻击者获取管理权限,由 CrowdStrike 高级研究团队发现,影响 5.0.2 及之前版本。其在 2024 年活动有起伏,6 月至 9 月停止在泄露网站发信息,9 月下旬短暂复苏后 10 月又停摆,如今再度行动,除里耶卡港公司外,还宣称入侵了其他几家不同国家的公司,不过实际被泄露的数据情况目前尚不清楚,其对各公司的声明内容还存在格式化、千篇一律的情况。

2024-12-13 23:54:07 36

原创 隐侠必备网安利器之 Chrome 扩展(隐蔽身份篇 · 二) 大揭秘,不可错过!

观前提示:以下排名不分先后,非专业测评,仅做个人分享,无法测评到插件每一个功能方面,个人心得纯属主观臆断,不代表插件真实能力水平和评价。无论工作还是生活中,我们总会碰到自身信息泄露的情况,莫名其妙被收集各种信息,因此保护自己的信息不被随意获取也是我们必须掌握。关闭插件页面,刷新当前页面,选项,解除全局限制,解除当前标签页显示,临时信任当前标签页所有js,取消临时信任js。功能效果:能够阻止网站获取Canvas指纹,安装插件后,每次获取Canvas指纹时,都会被替换为随机的值。个人心得:渗透必备!

2024-12-13 23:51:40 365

原创 网安瞭望台第11期:​曲阜警方破获巨额游戏账号盗窃案,斩断犯罪链条;优创乐思(Ultralytics)人工智能库遭入侵

今年初,曲阜警方接到网络公司报案后,锁定倒卖 “黑号” 的陈某树并将其抓获。构建方面,需克隆 ShadowDumper 存储库,在 Visual Studio 2019(v142)中打开,采用 C++14 或更高标准,从 [Resource Shellcodes] 文件夹下载特定 shellcodes 文件并放好后更改 ShadowDumper.rc 文件中的路径,确保选择 MASM,右键单击 ASM 文件设置项目类型为 Microsoft Macro Assembler 后再编译项目。

2024-12-09 20:44:26 484

原创 隐侠必备网安利器之 Chrome 扩展(隐蔽身份篇 · 一) 大揭秘,不可错过!

工欲善其事,必先利其器。观前提示:以下排名不分先后,非专业测评,仅做个人分享,无法测评到插件每一个功能方面,个人心得纯属主观臆断,不代表插件真实能力水平和评价。功能效果:被动嗅探浏览器流量,提示高危资产指纹和蜜罐特征,并进行拦截告警的谷歌插件,还可以用于对浏览器特征追踪(evercookie、webRTC、Canvas画布等)的对抗。个人心得:渗透必备!个人心得:渗透必备!简单方便,一共4个按钮,依次为:拦截/放行按钮、清空当前网站浏览器缓存、清空已被加黑的域名、设置选项,设置选项简单方面,默认全选。

2024-12-09 20:43:24 385

原创 网安瞭望台第10期:开源机器学习框架存在漏洞、GammaDrop 恶意软件

当 HTML 附件被打开时,会释放一个 7 - Zip 压缩文件(“56 - 27 - 11875.rar”),其中包含一个恶意 LNK 文件,该文件利用 mshta.exe 来传递 GammaDrop,这是一个负责将名为 GammaLoad 的自定义加载器写入磁盘的 HTA 释放器,随后 GammaLoad 与 C2 服务器建立联系以获取更多恶意软件。ESET 还指出,该威胁行为体的作案手法较为鲁莽,并不特别注重隐蔽性,尽管他们努力 “避免被安全产品拦截并极力维持对受感染系统的访问”。

2024-12-07 21:45:19 1007

原创 隐侠必备网安利器之 Chrome 扩展(信息搜集篇・五)大揭秘,不可错过!

该扩展分为IPV4、IPv6、ISP、Domain、My IP、Options、About 7个页面,这些页面会根据具体ip地址情况显示:当前IP地址、域名信息、域名服务商信息,所在地理位置(详细信息及地图位置),Hosting、DNS、DNSBL和Whois信息,About是使用情况,Options可以设置扩展默认打开页面以及填写API,获取更多信息和查询次数。功能效果:显示有关当前网站的详细的信息 ,如IP 信息:位置、 DNS、 whois 数据、 路由、 域的邻居、 黑名单和 ASN 信息。

2024-12-07 21:44:18 407

原创 网安瞭望台第9期:0day 情报,OAuth 2.0授权流程学习

根据美国国家标准与技术研究院(NIST)国家漏洞数据库(NVD)对该漏洞的描述,IdentityIQ “允许对 IdentityIQ 应用程序目录中本应受保护的静态内容进行 HTTP 访问”。该漏洞被归类为对标识虚拟资源的文件名处理不当(CWE-66)的情况,可能会被滥用来读取原本无法访问的文件。该漏洞被追踪为 CVE-2014-2120(CVSS 评分:4.3),涉及 ASA 的 WebVPN 登录页面输入验证不足的情况,这可能使未经身份验证的远程攻击者对该设备的目标用户进行跨站脚本(XSS)攻击。

2024-12-04 17:51:40 1157

原创 隐侠必备网安利器之 Chrome 扩展(信息搜集篇・三)大揭秘,不可错过!

观前提示:以下排名不分先后,非专业测评,仅做个人分享,无法测评到插件每一个功能方面,个人心得纯属主观臆断,不代表插件真实能力水平和评价。“Enabled”控制是否启用插件,“Show unknow”会列出整个页面使用的js,无论该js是否在指纹库中,整个页面右下角的“Save”按钮还可以将结果以html格式保存下来。需要输入DayDayPoc的token,token需要登录https://www.ddpoc.com/ 绑定微信后,在个人中心查看,复制你的token。bp上也有这个插件,高评价,建议安装。

2024-12-04 17:30:42 429

原创 东方隐侠网安瞭望台第8期

诈骗者利用浪漫主题诱饵,诱骗受害者购买流行的泰达稳定币(USDT 代币)并进行投资,一旦获得受害者信任,就提供钓鱼链接,受害者点击后会授权诈骗者完全访问权限,诈骗者便可在受害者不知情的情况下转走其钱包中的资金。在网络安全领域,系统设计犹如构筑坚固的堡垒,而其中可扩展性(Scalability)、可用性(Availability)、可靠性(Reliability)和性能(Performance)这四大要素,堪称系统设计的“神奇四侠”,它们紧密交织,共同保障系统在复杂多变的网络环境中稳定且高效地运行。

2024-12-02 21:41:26 761

原创 隐侠必备网安利器之 Chrome 扩展(信息搜集篇・二)大揭秘,不可错过!

功能效果: 同样是一款强大的网站技术栈获取工具,Wappalyzer扩展插件能够快速识别一个网站用到的前后端技术框架、运行容器、脚本库等,提供跨平台实用程序,能够发现网站上使用的技术,检测内容管理系统,电子商务平台,Web框架,服务器软件,分析工具等,甚至能显示WordPress 的主题和插件。个人心得:渗透必备!进入目标网页,点击扩展图标即可看到网页使用的技术栈,点击任意一项技术或类别后的按钮,即可跳转并称查看该技术或类别的详情。另,各位大侠如有好用的扩展,也可以评论留言。个人心得:渗透必备!

2024-12-02 21:39:38 225

原创 网安瞭望台第7期

众所周知,西方现在一致在支持乌克兰,为了尽力去阻止这些并不能为和平带来任何希望的动作,人工智能在涉及西方对乌克兰支持方面,可能会传播诸如乌克兰军队存在严重暴行、西方援助被乌克兰政府滥用等虚假报道,以削弱西方民众对乌克兰的同情与支持,破坏国际社会对乌克兰的援助体系。另一方面,加强媒体素养教育,提高民众对信息的甄别能力,同时强化网络平台的监管责任,从多方面构建防范假新闻的坚固防线,以维护信息环境的健康与稳定以及政治和社会秩序的正常运行。随着网络技术的发展,勒索软件的技术手段不断升级,防御难度增大。

2024-12-01 00:00:02 781

原创 隐侠必备网安利器之 Chrome 扩展(信息搜集篇・一)大揭秘,不可错过!

安全模式默认打开,关闭安全模式后可能会导致出现预期外的请求,会访问当前页面src、href属性的全部url,不区分链接类型,包括css、图片或是api等,数据量很大,各位少侠请注意。观前提示:以下排名不分先后,非专业测评,仅做个人分享,无法测评到插件每一个功能方面,个人心得纯属主观臆断,不代表插件真实能力水平和评价。功能效果: 该工具用于快速在网页的html源码或js代码中提取一些有趣的信息,包括可能请求的资源、接口的url,可能请求的ip和域名,泄漏的证件号、手机号、邮箱等信息。个人心得:渗透必备!

2024-11-30 23:58:25 500

原创 隐侠必备网安利器之 Chrome 扩展(渗透测试篇・六)大揭秘,不可错过!

东方隐侠安全团队持续收集在渗透测试过程中常用、好用、实用的chrome插件,并按照实际渗透测试流程中的功能、作用、用法分类并测评,同时尽可能扩展相关知识内容。观前提示:以下排名不分先后,非专业测评,仅做个人分享,无法测评到插件每一个功能方面,个人心得纯属主观臆断,不代表插件真实能力水平和评价。测试页面,点击扩展,点击允许获取当前站数据,可以查看并修改具体的cookie信息和其他信息。功能效果:可快速修改用户Cookie,实现Cookie的替换,显示信息多,操作简单,简单已用。个人心得:比较好用。

2024-11-28 21:03:24 170

原创 网安瞭望台第6期 :XMLRPC npm 库被恶意篡改、API与SDK的区别

其请求结构包括HTTP方法(如GET、POST、PUT、DELETE)、端点(如https://gmap/json,表示API托管的位置)、查询参数(如 - address=ABC + CA和 - key=APP_API_KEY,用于指定请求条件)、状态码(如200 OK,表示请求成功)以及以json/XML格式返回的数据。在这种模式下,客户端和服务器之间的 TCP 连接在一次请求 - 响应后不会立即关闭,而是保持打开状态,以便后续的请求 - 响应可以复用这个连接,减少了建立连接的开销,提高了效率。

2024-11-28 21:01:37 1273

原创 隐侠必备网安利器之 Chrome 扩展(渗透测试篇・五)大揭秘,不可错过!

该扩展分为禁用、cookies、css、表格、图片、信息、杂项、大纲、尺寸、工具等10大项页面,每个页面又有几种到数十种功能,使用者可以根据自己的需求选择对应功能。工欲善其事,必先利其器。东方隐侠安全团队持续收集在渗透测试过程中常用、好用、实用的chrome插件,并按照实际渗透测试流程中的功能、作用、用法分类并测评,同时尽可能扩展相关知识内容。从列表中选择想要的版本,右下角Apply就好了,apply(this tab)是仅修改当前标签页的ua头,apply(all tab)是浏览器全部标签页的ua头。

2024-11-26 22:38:59 333

原创 网安瞭望台第5期 :7zip出现严重漏洞、识别网络钓鱼诈骗的方法分享

2024 年 11 月 24 日,do son 报道了 7 - Zip 中存在的一个高严重性漏洞 CVE - 2024 - 11477。7 - Zip 是一款广受欢迎的文件压缩软件,而这个漏洞可能会让攻击者在存在漏洞的系统中执行恶意代码。该漏洞由趋势科技安全研究人员 Nicholas Zubrisky 发现,问题出在 7 - Zip 程序的 Zstandard 减压功能上。由于对用户提供的数据验证不充分,会产生整数下溢的情况,这就为攻击者在受影响的进程中执行任意代码提供了机会。

2024-11-26 22:36:40 1317

原创 网安瞭望台第4期:nuclei最新poc分享

近日,知名网络硬件制造商 D-Link 发布重要安全公告。由于存在严重的远程代码执行(RCE)漏洞,其敦促用户淘汰并更换多款已停产的 VPN 路由器型号。此次受影响的设备涵盖 DSR - 150、DSR - 150N、DSR - 250、DSR - 250N、DSR - 500N 和 DSR - 1000N 路由器的全系列硬件版本。据了解,该漏洞由安全研究员 “delsploit” 发现,源于栈缓冲区溢出问题,这使得未经身份验证的用户能够在受影响设备上执行远程代码,严重威胁网络安全。

2024-11-24 21:36:29 1088 1

原创 隐侠必备网安利器之 Chrome 扩展(渗透测试篇・四)大揭秘,不可错过!

点击扩展,选择“选项”进入选项页面,选择“情景模式”->“auto switch”选项,选择 域名通配,并输入测试目标域名/ip、bp代理,点击“Actions”->“应用选项”,保存,重启浏览器。设置代理:点击扩展,选择“选项”进入选项页面,选择“情景模式”->“+新建情景模式”选项,输入名称(如:bp),选择“ 代理服务器”,创建,在页面“代理服务器”中输入BurpSuite监听的地址端口,点击“Actions”->“应用选项”,保存,重启浏览器。另,各位大侠如有好用的扩展,也可以评论留言。

2024-11-24 21:34:09 324

原创 网安瞭望台第3期:俄黑客 TAG - 110组织与密码攻击手段分享

2024 年 11 月 22 日消息,与俄罗斯有关联的威胁行为者在中亚、东亚和欧洲开展了网络间谍活动。Recorded Future 的 Insikt Group 将该活动集群命名为 TAG-110,其与乌克兰计算机应急响应小组(CERT-UA)追踪的 UAC-0063 威胁组织有重叠,而 UAC-0063 又与 APT28 重叠,该黑客团伙至少自 2021 年起就很活跃。TAG-110 主要利用定制恶意软件工具 HATVIBE 和 CHERRYSPY 攻击政府机构、人权组织和教育机构等。

2024-11-22 23:17:02 1359 4

原创 隐侠必备网安利器之 Chrome 扩展(渗透测试篇・三)大揭秘,不可错过!

现在将收集的各类chrome扩展分享给各位少侠,以助帮助各位少侠提升渗透测试效率,助力各位少侠渗透测试功力更上一层楼。安装插件后,会自动跳转进入“插件配置”页面(或手动点击EZ-helper扩展中的“选项配置”页面)配置:EZ服务器地址、Token、黑白名单、禁用路径、禁用后缀、禁用方法、发送频率等参数并保存,注意Token时效。更多的业内最新动态,超多的网安资讯资料,深入浅出的病毒分析介绍、新颖实用的网络安全技战法、高效好用的渗透测试工具等尽在东方隐侠官方微信公众号和知识大陆,恭候各位大侠前来交流切磋。

2024-11-22 13:58:23 709

原创 网安瞭望台第2期:零日漏洞密集爆发、2024年常见网络安全漏洞类型及分析

近日,Ubuntu 服务器(自 21.04 版本起默认安装)的 Needrestart 软件包被曝存在多个可追溯至数十年前的安全漏洞。这些漏洞允许本地攻击者在无需用户交互的情况下获取根权限,严重威胁系统安全。Qualys 威胁研究部门(TRU)于上月初发现并报告了这些漏洞,其表示漏洞极易被利用,相关用户需尽快采取行动修复。这些漏洞被认为自 2014 年 4 月 27 日 Needrestart 0.8 版本引入解释器支持时就已存在。

2024-11-20 20:55:38 587

原创 隐侠必备网安利器之 Chrome 扩展(渗透测试篇・二)大揭秘,不可错过!

hackbar与上一期的Hack-Tools类似,都是一个知识库,但区别在于,hackbar最为人熟知的功能是构造并发送GET/POST请求,并且,自带的SQL注入、生产反弹SHELL、XSS等功能的代码可以直接加入到GET/POST请求中,因此,Hackbar是一款专注于web页面渗透测试的工具,而Hack-Tools应用场景更广泛一些。注意1:这里推荐的是chrome扩展商店中的作者为0140454的版本,之前网上广为流传的需要破解使用的hackbar插件并没有目录扫描的功能,建议更新使用。

2024-11-19 23:05:07 389

原创 探秘网络江湖气,不可错过!隐侠必备利器之 Chrome 扩展(渗透测试篇・一)大揭秘!

功能效果:红队渗透工具插件“大礼包”,其中包含了大量测试工具,包括反弹shell code、XSS Poc、SQL注入Poc、Shellcode生成、Linux常用命令、Hash生成、CVE数据库查询、base64编码、MSFVenom生成器等诸多功能,每一个功能都是一个页面,每一个页面都包含功能简介、常用命令、以及poc代码或具体功能。刷新网页后点击插件图标,会出现当前页面中的链接列表,点击需修改的链接进入修改请求页面,POST框可修改链接,Header框和Name框可以输入参数名、变量名及值。

2024-11-18 22:29:36 727 1

原创 网安瞭望台第 1 期:谷歌 Shielded Email发布、SQL 注入原理大揭秘

数字签名的作用:1️⃣确保消息的完整性:保证接收到的消息与发送的消息完全一致,没有被篡改。2️⃣验证身份:只有拥有正确私钥的人才能生成有效的数字签名,因此可以用来验证消息发送者的身份。3️⃣防止抵赖:发送者无法否认自己发送过消息,因为数字签名是与消息一起发送的。数字签名的原理:1️⃣发送方使用自己的私钥对消息进行加密,生成数字签名。2️⃣发送方将消息和数字签名一起发送给接收方。3️⃣接收方使用发送方的公钥对数字签名进行解密,验证消息的完整性和发送方的身份。数字签名的优点:

2024-11-18 22:27:10 798

原创 网络安全设备资产指纹收集:应用指纹的探索与实践

设备资产指纹收集是一项网络攻防对抗中至关重要的任务。其中,应用指纹的收集对于准确识别网络中的各类应用程序、评估潜在安全风险以及制定有效的安全策略具有关键意义。本文将深入探讨网络安全设备资产指纹收集的关键技术,重点介绍我们团队收集的应用指纹集,并推荐一些相关的开源工具。

2024-11-11 00:14:02 100

原创 漏洞分析|Cyber​​Panel 控制面板存在远程命令执行漏洞(QVD-2024-44346)

它具有网站管理(便捷建站、SSL 设置)、数据库管理(可视化操作、备份恢复)、用户与权限管理(创建不同权限用户及经销商用户)等功能,还有邮件、FTP 服务及安全工具集成等,有免费版和企业版,适用于多种用户,操作界面简洁,性能出色。该漏洞源于upgrademysqlstatus接口未做身份验证和参数过滤,使得未授权的攻击者能够通过此接口执行任意命令,进而获取服务器权限,可能造成数据泄露、服务器被接管等严重后果。服务1: 加入东方隐侠安全团队知识大陆,即可获取最新网络安全学习资料,伴您更好成长更快进步。

2024-11-03 23:17:53 74

原创 Burpsuite 插件生态剖析 - 必备插件集合大放送!

hi,我亲爱的粉丝们,我已经好久好久没有在csdn发表文章了,因为同时在兼顾工作和自己的安全团队,没有那么多时间来写csdn了。而现在也因为安全团队“东方隐侠”开始做【扬名】的事情,今后会频繁和大家见面啦。有兴趣的兄弟们,还是欢迎关注公众号“东方隐侠安全团队”,你会获得你想要的知识和技能哒~Burp Suite 作为一款功能强大的 Web 应用程序安全测试工具,其核心优势不仅在于专业的请求拦截、转发、重放等功能,还能够借助扩展功能来实现自身功能的进一步拓展。

2024-11-03 23:11:17 779

原创 业内常用即时传输网盘

工具名称业内常用即时传输网盘功能简介无需登录,短时间内有效,多用于传输小型敏感文件外部链接请见文内内部网盘链接在线站点,无网盘链接。

2023-04-27 00:31:46 1117

windows defender关闭工具,亲测无毒

windows defender关闭工具,亲测无毒

2022-10-21

74cms5.0.1RCE漏洞环境源码

74cms5.0.1RCE漏洞环境74cms5.0.1RCE漏洞环境74cms5.0.1RCE漏洞环境74cms5.0.1RCE漏洞环境74cms5.0.1RCE漏洞环境74cms5.0.1RCE漏洞环境74cms5.0.1RCE漏洞环境74cms5.0.1RCE漏洞环境

2022-10-18

BrowsingHistoryView_v2.50

BrowsingHistoryView是一款用可以查看浏览器历史记录的工具,功能强大,体积小巧,支持多种浏览器,有需要的赶快下载吧!

2022-08-08

nessus必备插件.zip

Nesuus 必备插件

2020-02-13

cobaltctrike3.13-cracked.zip

CobaltStrike3.13 Windows+MacOS客户端+服务器端-网络安全工具类资源 CobaltStrike3.13 Windows+MacOS客户端+服务器端-网络安全工具类资源 CobaltStrike3.13 Windows+MacOS客户端+服务器端-网络安全工具类资源 CobaltStrike3.13 Windows+MacOS客户端+服务器端-网络安全工具类资源 CobaltStrike3.13 Windows+MacOS客户端+服务器端-网络安全工具类资源

2020-02-10

drizzleDumper.zip

drizzleDumperdrizzleDumper

2020-02-03

smali2java

将不熟悉的snali代码转换为hava代码,极大地方便安卓逆向人员对代码的阅读。

2019-04-08

WEKA入门用的银行数据集bank-data.arff

WEKA入门用的银行数据集bank-data.arff

2019-02-18

信息安全风险评估标准GB20984

信息安全风险评估标准GB20984

2019-01-27

未来汇编、轻松汇编汇编语言代码运行工具

未来汇编、轻松汇编汇编语言代码运行工具,亲测可用。

2018-12-21

qt-sdk-linux-x86-opensource-2010.05.1

qt-sdk-linux-x86-opensource-2010.05.1

2018-12-17

GPG4Win-3.1.0

超级好用的公开加密的加密解密工具。GPG4Win-3.1.0

2018-12-12

弱口令及对应md5值字典

弱口令及对应md5值字典

2018-12-06

弱口令字典

弱口令字典,很全很强大,如果需要弱口令的散列值,请关注本人的其他资源。谢谢。

2018-12-06

易优md5字典生成器

易优md5字典生成器

2018-12-06

恶意代码分析实战

恶意代码分析实战 .pdf

2018-12-06

啊D——SQL注入工具

啊D注入工具

2018-12-01

Windows下GNS3的安装

Windows下GNS3的安装

2018-11-28

jpcap压缩包

Jpcap实际上并非一个真正去实现对数据链路层的控制,而是一个中间件,JPCAP调用wincap/libpcap,而给JAVA语言提供一个公共的接口,从而实现了平台无关性。Java的.net包中,给出了传输层协议 TCP和UDP有关的API,用户只能操作传输层数据,要想直接操作网络层{比如自己写传输层数据报(自己写传输层包头),或者自己写好IP数据包向网络中发}则是无能为力的。 而JPCAP扩展包弥补了这一点,使我们可以支持从网卡中接收IP数据包,或者向网卡中发送IP数据包。

2018-11-21

Debookee Mac下arp欺骗工具

Mac下的arp欺骗攻击工具,debookee无病毒很好用,欢迎下载哟

2018-11-18

有向图中简单路径计数及最短路径最长路径的输出

可进行有向图的创建,所有简单路径的遍历,并找出其中的最短路径和最长路径。

2018-11-16

动态打印B-树代码

动态打印数据结构中的B-树,可实现其插入、创建、删除和查找。

2018-11-16

动态打印平衡二叉树

巧妙的设计,二叉平衡树或二叉搜索树的打印,可实现其初始化、插入、删除、查找和平衡化,并有较好的健壮性和友好性。

2018-11-16

干净的数据——数据清洗与入门(内附图书)

这是由中国工信出版社集团、人民邮电出版社联合出版的由美国的MeGan Squire著作任政委翻译的《干净的数据 数据清洗入门与实践》,这是关于数据清洗的知名书籍,个人也是怀着敬仰之心细读全书,获益匪浅,分享给大家。

2018-07-04

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除