- 博客(5)
- 收藏
- 关注
RSS订阅原创 金融业务安全漏洞挖掘日记第1天(纯个人用于辅助学习,无营养,慎进!!!)
使用正则表达式提取 HTTP 和 HTTPS 链接。# 使用正则表达式提取所有http://链接。# 将去重后的链接按字母顺序排序并保存到文件。# 如果有提取到链接,则去重并保存。现在是21号上午10点05,刚睡醒,strating~# 注册监听器来捕获HTTP请求和响应。# 使用 set 去重链接。为了体验一场倾尽所有最后一无所获的收获。# 设置扩展名的名称。点开了一遍,都是些没有价值的东西。
2024-12-21 23:09:05
585
原创 XSS学习记录(获取到别人的cookie)
如何利用xss漏洞获取到别人的cookie?- 受害者网站没有使用http-only。2.在云服务器开启一个简单的http服务。1.payload插入到存在漏洞处。3.将链接发送给受害者诱导其点开。- 受害者可以访问到我的服务器。- 受害者没有退出登录。
2024-11-27 17:16:37
234
原创 记录~鹰图检索技巧
web.body="登陆"||web.body="注册" 查找带有登陆和注册的页面。web.icon=="logo号" 通过logo查询隐形资产。icp.name="公司名称" 搜索该公司备案域名。
2024-07-15 16:54:04
636
原创 记录~灯塔收集
经验之谈:收集资产时可以创建一个对应src的总文件夹,然后从主域名,副域名等收集的资产创建自己各自的文件,灯塔探测时按顺序标号查询,创建一个word文件用来记录分类各种可能有漏洞的域名。首先第一个要看的点是:文件泄露里的api-docs、swagger-ui nacos可以使用工具验证。第四个点:WIH(监测JS里的敏感信息内容) 有key泄露、password泄露。最后,看站点,状态200,看有标签的,收录保存登陆,管理的平台站点。然后记得保存下来:actuotor/env/后台登陆页面:/admin。
2024-07-12 17:06:53
844
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人