- 博客(152)
- 资源 (1)
- 收藏
- 关注
RSS订阅
原创 从小白入门到专家入狱——400+ 精选实战渗透路径
摘要: 本文是一份全面的渗透测试指南,涵盖从侦察到漏洞利用的全流程。重点包括: 子域名枚举:整合Subfinder、Amass等工具,结合证书透明日志、DNS暴力破解等技术,实现多源发现。 JavaScript分析:通过LinkFinder、SecretFinder等工具提取API密钥、敏感路径和硬编码凭证。 漏洞检测:详细方法覆盖XSS(Dalfox)、SQL注入(SQLMap)、SSRF/SSTI等,提供自动化脚本和Nuclei模板扫描。 云安全:AWS S3桶权限检查、Firebase数据库暴露等云环
2025-12-27 16:11:54
1058
原创 2026年最佳AI渗透测试工具
借助AI辅助编码,软件开发速度比以往任何时候都快。许多公司现在每天或每周推送更新,但安全测试并未跟上。我们经常听到安全团队说他们现在面临着难以承受的积压:“我有1500个应用要渗透测试,团队只有12人......”或者“我只有15分钟手动测试每个新功能发布......”这就是为什么团队开始转向AI渗透测试工具。这些平台利用AI代理和机器学习自动化攻击工作流程,跨API和现代Web应用扩展,并在代码发布时持续重测。现代AI驱动的渗透测试工具增强了渗透测试员的工作,实现了大规模测试。
2026-03-03 11:34:04
881
原创 网络安全泄露开年大瓜,伤害不大,侮辱性极强的大瓜
摘要:2026年3月2日晚,某安全厂商敏感信息泄露事件引发行业震动。泄露内容基本属实,暴露出网络安全产品"能护人难护己"的尴尬处境。事件发酵后厂商仍未澄清,引发对行业前景的质疑。核心问题直指网络安全产品的本质定位与实效性,反映出当前网安领域存在的自我防护短板。(149字)
2026-03-03 08:54:46
50
原创 【AI渗透】——专为渗透测试工程师和安全研究员设计的新一代集成化安全测试平台(Venom)
致命精准的红队作战兵器。模块化集成资产发现、漏扫与利用,重新定义渗透测试工作流 (Workflow) 的新一代安全平台。
2026-03-01 21:28:31
676
原创 【渗透工具】——可视化的Nnclei扫描工具(Nuclei GUI Scanner)
摘要:Nuclei_GUI是一款基于PyQt5开发的跨平台漏洞扫描工具,支持Windows/macOS/Linux系统。该工具集成了Nuclei扫描引擎,提供可视化界面、POC管理、资产搜索和AI辅助分析等功能。支持一键下载安装Nuclei引擎,具备多任务队列管理、漏洞报告生成和多种导出格式。技术栈采用Python3+PyQt5+SQLite,支持OpenAI兼容接口进行智能分析。程序自动检测系统环境并适配对应版本的Nuclei,提供完整的安装指南和故障排除方案。注意:本工具仅限授权测试使用。
2026-03-01 11:56:54
1195
原创 【渗透工具】——一款安全测试工具集,集合多种渗透测试常用的功能和工具
AboutOnyx 是一款安全测试工具集,集合多种渗透测试常用的功能和工具,赋能攻防、渗透等场景。整合空间测绘、漏洞扫描、主机探测、信息收集、小程序反编译等能力,提供一站式的渗透测试工作台,告别需要到处切换工具、网站的麻烦
2026-02-25 21:43:25
645
原创 【渗透工具】——开源的类 BurpSuite 应用 ChYing(一个安全人的开源梦)
承影,愿你在光影之间,找到属于自己的锋芒。开源的类 BurpSuite 应用 ChYing — may you find your own edge between light and shadow. An open-source, BurpSuite-like application.
2026-02-25 21:24:03
739
原创 【渗透知识】—— 渗透测试辅助平台(Payloader)
渗透测试Payload速查平台 |渗透测试有效载荷快速参考 |XSS/SQLi/SSRF/RCE |React+TypeScript
2026-02-25 21:10:24
824
原创 威胁设计器:用于安全系统设计的 AI 驱动型威胁建模
生成式AI革新威胁建模:ThreatDesigner解决方案 本文介绍如何利用生成式AI技术突破传统威胁建模的局限。通过Amazon Bedrock平台搭载的Claude Sonnet 3.7多模态模型,ThreatDesigner解决方案实现了架构图自动分析、威胁智能识别和标准化报告生成。该无服务器应用采用LangGraph工作流,将威胁建模分解为图像处理、资产识别、数据流分析和威胁枚举四个核心阶段,支持用户控制迭代和自主差距分析两种模式。相比传统1-8天的人工建模周期,该方案能在5-15分钟内完成分析,
2026-02-24 22:12:38
684
原创 【渗透工具】——PYDNS扫描器
一款现代化的高性能 DNS 扫描器,拥有美观的终端用户界面 (TUI),采用 Textual 语言编写。该工具可以扫描数百万个 IP 地址,查找可用的 DNS 服务器,并可选配 Slipstream 代理测试和自动多平台客户端下载功能。
2026-02-24 21:38:20
660
原创 【AI自动化渗透】——人工智能驱动的自主渗透测试平台(NeuroSploit )
NeuroSploit是一款先进的AI驱动渗透测试框架,旨在自动化和增强进攻性安全行动的各个方面。利用大型语言模型(LLM)的能力。
2026-02-24 20:59:57
1298
原创 【XSS payload 】一个经典的XSS payload
摘要:该分析揭示了一个复杂的JavaScript/HTML混合Payload,采用多层编码和混淆技术。关键手法包括:1)利用JavaScript伪协议和换行符绕过注释限制;2)多种引号组合和HTML实体混淆;3)闭合常见HTML标签后注入自定义标签;4)通过contentEditable/autoFocus/OnFocus属性实现自动触发;5)使用动态import()加载外部脚本。虽然存在语法错误导致实际执行失败,但展示了攻击者常用的WAF绕过技术,包括URL编码、注释嵌套、标签注入和ES6特性滥用等。该案
2026-02-24 17:59:23
803
原创 世界ai对抗是智能奇点,我国的ai对抗是免费起点【中国式的Ai对抗,从红包和免费奶茶开启】
摘要:千问APP推出"春节30亿免单"活动,因用户激增导致服务器卡顿,官方表示正在扩容。活动包括奶茶免单、邀请新用户奖励(最高21张25元免单卡)及抽万元AI生活卡机会。2月13日将开启第二波现金红包活动(最高2888元)。文章对比指出,中国AI以免费营销拉新,而国外AI发展重点不同,并提及某AI平台发布两项重要更新。(149字)
2026-02-06 12:35:52
422
原创 【AI平台】- 基于大模型的知识库与知识图谱智能体开发平台
Yuxi-Know是一个结合LightRAG知识库和知识图谱的智能体开发平台,采用LangChainv1+Vue+FastAPI技术栈构建。该平台支持多智能体系统开发(LangGraphv1)、知识库管理(支持多格式文档上传和评估)以及知识图谱构建与可视化。主要功能包括:快速将文档转化为知识库、自动/手动构建知识图谱、开发多智能体系统等。部署方式简单,通过Docker即可启动,访问本地5173端口即可使用。
2026-02-05 13:02:19
112
原创 小白也能看懂系列——红队进攻
本文概述了针对SMTP服务的信息收集与攻击方法,以及AWS云环境中的权限提升技术。在SMTP攻击方面,包括使用Nmap扫描、子域枚举、邮件交互(通过swaks工具)和凭证收集等步骤。在AWS权限提升部分,介绍了两种方法:通过EC2元数据服务获取IAM角色凭证,以及使用pacu.py脚本进行IAM角色提升。此外还列举了针对云端不安全接口的检测方法,包括端口扫描、API枚举和S3桶暴力破解等技术。这些技术涵盖了从信息收集到权限提升的完整攻击链。
2026-02-02 22:49:32
599
原创 小白也能看懂系列——安全编码(2)
本文分析了Web应用中的三种常见安全漏洞及其防范措施:1) 双因素认证(2FA)逻辑缺陷导致绕过认证机制,应确保验证码与用户会话绑定并设置有效期;2) 密码重置功能漏洞允许未授权重置,需验证服务器端令牌并设置有效期;3) 会话固定攻击通过保持认证前后会话ID不变实现,应在认证后更新会话ID。针对每种漏洞,文章提供了易受攻击代码示例和安全代码实现方案,并提出了通用安全建议,包括实施速率限制、使用安全传输协议、基于角色的访问控制和定期安全测试等。
2026-02-02 18:56:49
734
原创 自动化快速评估工具
摘要:RedAgent是一款基于AI的自动化安全评估工具,采用ReAct模式实现智能安全测试。工具采用纯Go语言开发,具备现代化黑客风格UI界面,支持多种LLM接口(包括GPT-4、DeepSeek等)。核心功能包括12+内置安全测试能力(端口扫描、XSS检测等),无需依赖外部工具,同时支持集成sqlmap等专业工具。支持检测SQL注入、XSS、SSRF等常见漏洞类型,提供实时日志记录和HTML报告导出功能。通过简单的API配置即可快速启动安全评估,适合进行Web应用漏洞检测。
2026-02-02 09:58:50
400
原创 小白也能看懂系列——安全编码(1)
摘要:本文分析了API安全领域的六大关键漏洞(API4-API10),包括不受限制的资源消耗、功能级别授权错误、无限制访问敏感业务流程、服务器端请求伪造、安全配置错误和库存管理不当。针对每个漏洞,提供了.NET代码示例(不合规与合规版本对比)及具体预防措施。核心建议包括:实施资源消耗限制、严格验证用户权限、业务流程访问控制、URL输入验证、正确配置安全设置、完善的版本管理,以及对外部API的安全使用规范。这些措施共同构成了API安全防护体系,可有效降低API服务的安全风险。
2026-02-01 21:51:29
492
原创 渗透测试网页检查清单
本文摘要:文章详细介绍了网络安全渗透测试的完整流程,涵盖侦察、枚举、漏洞检测等多个阶段。从大型企业到小型网站的资产发现方法,包括子域暴力破解、云资产识别等。重点阐述了用户管理、认证缺陷、访问控制等安全风险点,以及文件上传、密码重置等功能的测试技巧。同时提供了XSS、SQL注入等常见漏洞的检测方法,并讨论了验证码绕过、请求走私等高级攻击技术。最后总结了安全头部检查和基础设施隔离验证等防御措施。全文系统性地梳理了Web应用安全测试的关键点和技术细节。
2026-02-01 21:06:37
527
原创 OpenClaw技能的超棒合集。前身为Moltbot,最初名为Clawdbot。
身份认同危机已包含在内,无需额外付费)是一款本地运行的 AI 助手,直接在您的计算机上运行。技能可以扩展其功能,使其能够与外部服务交互、自动化工作流程并执行特定任务。此合集可帮助您发现并安装满足您需求的合适技能。这些技能遵循 Anthropic 开发的 Agent Skill 规范,这是一个用于 AI 编码助手的开放标准。您可能已经知道,他们一直在更改名称。此处反映的是当前的官方文档。(OpenClaw 的公共技能注册表),并进行了分类以便于查找。优先级:工作区 > 本地 > 捆绑。此列表中的技能来源于。
2026-02-01 20:45:35
3180
原创 CVE-2026-1281 — 关键零日漏洞
摘要:CVE-2026-1281高危漏洞预警 Ivanti EPMM(Endpoint Manager Mobile)曝出关键RCE漏洞(CVSS 9.8),攻击者无需认证即可远程执行代码、控制服务器及受管设备。漏洞已在野被利用,影响本地部署的12.5.x-12.7.x版本,云服务不受影响。 应对措施: 立即应用Ivanti紧急补丁(RPM热修复) 限制EPMM外部访问,监控异常日志 检查可疑网页壳或策略变更,必要时从干净备份恢复 检测工具: 提供Python脚本(CVE-2026-1281.py)快速检测
2026-02-01 20:10:37
620
4
原创 面向攻击性安全专业人员的一体化浏览器扩展程序[特殊字符]
HackTools是一款面向安全测试人员的浏览器扩展工具,集成了渗透测试常用功能。该工具提供XSS/SQLi/LFI等攻击载荷生成、反向Shell创建、编码解码工具以及Linux实用命令等功能,支持通过快捷键快速访问所有功能。兼容Chrome、Firefox和Safari浏览器,提供明暗主题切换。用户可从官方商店下载或自行构建安装。该项目由Ludovic Couron和Riadh Bouchahoua维护,鼓励用户通过捐赠支持开发。
2026-02-01 19:59:52
668
原创 踪有趣的 Linux(和 UNIX)恶意软件。提交 PR
Linux恶意软件威胁态势分析摘要 近年来,Linux系统面临的恶意软件威胁呈现多样化、复杂化趋势。根据MITRE ATT&CK框架分析,主要攻击链包括: 初始访问:通过漏洞利用(如Mirai、FreakOut)、供应链污染(如PHPMyAdmin、FreeDownloadManager后门)或云凭证泄露(Legion)实现入侵 持久化:BPFDoor等rootkit利用BPF套接字过滤器(T1205.002),OrBit通过内核模块实现隐蔽驻留 防御规避:Shikitega使用合法文件名伪装(T1
2026-01-31 23:27:12
717
原创 人工智能驱动的暗网开源情报工具
您可以通过创建 .env 文件(参考仓库中的示例 env 文件)或在 PATH 中设置环境变量来提供 OpenAI、Anthropic 或 Google API 密钥。发送可能涉及敏感信息的查询时务必谨慎,并仔细阅读您使用的任何 API 或模型提供商的服务条款。它利用LLM(逻辑逻辑模型)来优化查询、过滤来自暗网搜索引擎的搜索结果,并提供调查摘要。作者对本工具的任何滥用行为或使用本工具收集的数据概不负责。对于 Ollama,如果您使用 Docker 或使用其他方法运行,请在您的环境变量中提供。
2026-01-31 22:41:59
541
原创 高级网络安全爬虫/蜘蛛
SpiderSuite是一款跨平台网络爬虫工具,专为网络安全人员设计,支持攻击面映射与分析。该工具界面友好,安装简便,适合各类用户使用。用户只需下载安装包完成安装,即可参考官方文档快速上手。《首次使用SpiderSuite爬虫》提供入门指南,详细功能说明可查阅wiki文档。
2026-01-31 22:37:50
112
原创 精选的优秀法证分析工具和资源列表
(大部分为开源)取证分析工具和资源列表。更多内容请参阅安德鲁·凯斯的。NTFS/MFT 处理。Windows 组件。
2026-01-31 22:08:18
551
原创 Burp Suite 与AI之间的桥梁。
使用本地模型(Ollama、LM Studio)、通用的 OpenAI 兼容模型提供商或云提供商(Gemini、Claude、OpenAI/Codex、OpenCode)。Ollama、LM Studio、通用 OpenAI 兼容、Gemini CLI、Claude CLI、Codex CLI、OpenCode CLI。历史记录、中继器、入侵者、扫描器、范围、站点地图、协作器、实用程序等等。:配置 Ollama、Gemini、Claude 等。严格(零信任)、平衡(务实)、关闭(原始数据)。
2026-01-31 22:03:32
709
原创 一款开源 OSINT 图探索工具,旨在实现合乎道德的调查、透明化和验证。
Flowsint 是一款基于图的调查工具,专注于侦察和开源情报 (OSINT)。它允许您通过可视化的图形界面和自动增强器来探索实体之间的关系。Flowsint 是一款开源 OSINT 图探索工具,旨在实现合乎道德的调查、透明化和验证。Flowsint 目前仍处于早期开发阶段,非常需要社区的帮助!欢迎提出问题、建议功能等等。✅ 开源情报调查需要高度保密。所有信息都存储在您的计算机上。默认情况下没有凭据或帐户。
2026-01-31 21:49:02
546
原创 MCP 将帮助防御者更努力、更智能地进行检测工程
MCP(模型上下文协议)服务器是一个统一查询平台,支持LLM访问Sigma、SplunkESCU、Elastic和KQL等多种安全检测规则库。该系统提供11个预置专家级工作流程提示,可自动执行勒索软件评估、APT威胁模拟、紫队演练等复杂安全分析任务。通过结构化参数补全和交互式工具,用户能快速获取专业分析报告、优先级排序建议和检测覆盖率评估。服务器支持全文搜索、MITRE ATT&CK映射、CVE覆盖检查等功能,并优化了数据处理效率,相比传统方法可节省25倍以上的令牌消耗。安装配置简单,支持npx直接
2026-01-31 21:40:07
707
原创 AutoPentestX – Linux 自动化渗透测试和漏洞报告工具
是一款面向 Linux 系统的全面、生产准备的自动化渗透测试工具包。它通过一个命令完成全自动化的安全评估,生成专业的 PDF 漏洞报告。AutoPentestX - 自动渗透测试工具包。开发者对该工具造成的滥用或损害不承担任何责任。本项目采用MIT许可证授权——详情请参见。:找不到 Nikto 或 SQLMap。该工具旨在教育用途。祝你黑客游戏愉快(道德上)!快速扫描(跳过网页和漏洞)使用自定义测试器名称扫描。问题:“权限被拒”扫描时。全扫描,包含所有功能。
2026-01-31 21:32:09
895
原创 LeakDetector 是一款专为红队渗透测试人员和安全研究员设计的自动化信息泄露侦察工具。
是一款专为红队渗透测试人员和安全研究员设计的。它基于 Bing 搜索引擎的高级语法(Dork),结合 Playwright 浏览器自动化技术,能够高效、精准地发现互联网上由于配置不当、运维疏忽或系统漏洞而暴露的敏感信息。与传统脚本不同,LeakDetector 引入了和,支持从数千个结果中自动筛选出高价值的敏感文件(如 Excel 通讯录、身份证名单、API 密钥配置等),并自动生成可视化的审计报告。本工具仅供授权的安全测试、漏洞挖掘和企业内部安全审计使用。
2026-01-31 21:17:03
722
1
原创 “抖音崩了”冲上热搜,无法正常搜索,刷视频功能未受影响
【摘要】抖音App近日出现搜索功能异常,用户反馈输入关键词后显示空白或"网络错误",但其他功能正常。官方客服回应存在两种说法:一是平台正在紧急排查修复,二是建议用户自查网络或缓存问题。此次事件与TikTok国际版此前故障无关,但类似2024年11月的功能异常情况。对比快手2025年遭遇的黑客攻击事件,二者性质不同。事件背景正值2026年网络安全新规实施和专项治理行动期间,反映出平台面临的技术与监管压力。目前用户可尝试切换网络、清理缓存等临时方案,最终解决方案仍需等待官方正式通告。(149
2026-01-29 21:06:24
1030
原创 Clawdbot技能合集,精彩纷呈。(Clawdbot已正式更名为Moltbot)
Moltbot(原名 Clawdbot)是一款本地运行的 AI 助手,直接在您的计算机上运行。技能可以扩展其功能,使其能够与外部服务交互、自动化工作流程并执行特定任务。此合集可帮助您发现并安装满足您需求的合适技能。这些技能遵循 Anthropic 开发的 Agent Skill 规范,这是一个用于 AI 编码助手的开放标准。我们不对所列项目的安全性或正确性进行审核、认可或保证。(Moltbot 的公共技能注册表),并进行了分类以便于查找。超棒的爪形机器人(蜕皮机器人)技能。编码代理和集成开发环境。
2026-01-27 23:01:27
2658
原创 深入讲解 LLM、RAG 和现实世界 AI 代理应用。
【AI工程中心:一站式人工智能学习与实践平台】 AI工程中心为不同水平的学习者提供丰富的资源: 93+实战项目:涵盖OCR、RAG、智能体等方向,分初级/中级/高级三阶段 特色内容: 初学者:LaTeX OCR识别、简易RAG实现 进阶者:多智能体工作流(如AutoGen股票分析)、MCP协议应用 高级:模型微调(DeepSeek)、生产级系统部署 配套资源:AI学习路线图、电子报订阅(含150+数据科学课程) 支持从基础到生产的全流程学习,项目地址:https://github.com/patchy631
2026-01-27 22:52:11
927
原创 PentestAgent 是一个用于黑盒安全测试的 AI 代理框架,支持漏洞赏金、红队和渗透测试工作流程。
摘要:PentestAgent是一款基于AI的渗透测试代理工具,支持Python 3.10+和多种AI模型API(OpenAI/Anthropic等)。提供三种工作模式:协助模式、自主代理模式和多人协作模式,支持Docker容器化部署(含Kali Linux镜像),内置nmap、sqlmap等工具。通过TUI界面执行任务,支持攻击剧本执行、知识图谱构建和自动化报告生成。项目采用MIT许可,强调仅限授权使用。包含HexStrike集成选项,通过MCP协议扩展功能,需手动配置第三方服务。
2026-01-27 22:41:19
899
原创 一款以人工智能为核心的安全扫描器,拥有 74 个以上的分析器、180 多条 AI 代理安全规则以及智能误报抑制功能。支持所有编程语言。可检测 React2Shell 和 mcp-remote 远程代码
一款以人工智能为核心的安全扫描器,拥有 74 个以上的分析器、180 多条 AI 代理安全规则以及智能误报抑制功能。支持所有编程语言。可检测 React2Shell 和 mcp-remote 远程代码执行漏洞 (RCE)
2026-01-27 22:17:04
706
原创 一款先进的、基于人工智能的渗透测试框架,充分利用了大型语言模型 (LLM) 的功能,增强攻击性安全操作
NeuroSploit 是一款先进的、基于人工智能的渗透测试框架,旨在自动化和增强攻击性安全操作的各个方面。它充分利用了大型语言模型 (LLM) 的功能。
2026-01-27 22:02:06
1149
原创 小白也能看懂系列:一文看懂登录绕过(bypass )
本文摘要了多种绕过登录验证的技术方法,包括:1) 检查页面源码和直接访问受限页面;2) 利用PHP比较错误和JSON参数注入;3) 尝试Node.js解析漏洞;4) 测试默认凭证和暴力破解;5) SQL注入绕过技术,列举了大量注入payload;6) NoSQL和XPath注入方法;7) 利用"记住我"功能和开放重定向漏洞。这些技术涉及参数篡改、逻辑漏洞利用和注入攻击等多种攻击向量,旨在绕过常规身份验证机制获取未授权访问。
2026-01-27 13:24:08
936
原创 小白也能看懂系列:一文看懂NoSQL注入
仅仅通过递增计数器和时间戳值来猜测对象 ID 的唯一挑战在于,MongoDB 是在系统级别生成和分配对象 ID 的。,给定一个起始对象 ID(你可以创建一个帐户并获得一个起始 ID),它会返回大约 1000 个可能分配给下一个对象的对象 ID,因此你只需要暴力破解它们即可。如果您是 root 用户,您可以修改 mongodb.conf 文件,使其不需要凭据(noauth = true),然后无需凭据即可登录。从不同的集合中获取信息。这是一个简单的脚本,您可以对其进行修改,但之前的工具也可以完成这项任务。
2026-01-27 13:13:40
1077
DVWA 的目标是通过一个简单易用的界面,提供不同难度级别的常见 Web 漏洞练习 请注意,该软件包含已记录和未记录的漏洞,这是有意为之
2026-02-11
针对 FnOS 系统的综合漏洞利用工具可视化工具
2026-02-10
DAMN VULNERABLE WEB APPLICATION
2026-01-07
ActiveMQ-Vulnerability-Tool-main
2026-01-07
Acunetix 是一款功能强大的商业软件,由 Acunetix 公司(后更名为 Invicti)开发,个人使用成本较高
2026-01-01
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人