- 博客(36)
- 收藏
- 关注
RSS订阅原创 Fortify SCA 24.4 最新可用版
Fortify Static Code Analyzer(Fortify SCA) 是一款由 Micro Focus(原惠普旗下)开发的 静态应用安全测试(SAST)工具,专注于在软件开发早期通过分析源代码或编译后的二进制文件,识别潜在的安全漏洞、代码缺陷和合规性问题。以下是其核心特点与功能:核心功能 静态代码分析 在不运行程序的情况下,通过语法、语义分析检测代码中的安全漏洞(如 SQL 注入、跨站脚本(XSS)、缓冲区溢出等)和代码质量问题。
2025-03-07 15:21:21
485
1
原创 awvs v25.1.25 Win/linux 下载
AWVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。WVS可以通过检查SQL注入攻击漏洞、跨站脚本攻击漏洞等来审核Web应用程序的安全性。它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。
2025-02-28 11:34:29
576
原创 全网最全的SQL注入基础与常用命令
例如,查询 SELECT * FROM users WHERE username = '' OR 1=1 AND password = '' 会返回所有用户,但如果目标只在查询返回单行时才允许登录,这种方法就会失效。例如,在重置密码的场景中,注入 "OR 1=1" 可能会导致所有用户的密码都被更改,而不仅仅是目标用户。这些payload会在SQL查询的时候引发报错,前提是1=1的条件为真,将1=1替换为你想要测试的条件;另外,只有在可以进行堆叠注入的情况下,才能使用 Oracle 方法。
2025-02-25 13:35:25
939
原创 7-Zip高危漏洞CVE-2025-0411 poc 攻击者可绕过安全机制远程执行代码
前两天全网都在发一个7z的cve,编号为:CVE-2025-0411相关poc在github公开,地址:https://github.com/dhmosfunk/7-Zip-CVE-2025-0411-POC复现:简单复现了下,原介绍中是这样写的:CVE-2025-0411漏洞允许远程攻击者绕过Windows的“网络标记”(Mark-of-the-Web, MOTW)保护机制,在受影响的系统上执行任意代码。其实说人话就是正常情况下,当你开启了windows的Windows SmartScr
2025-01-23 09:48:04
1957
原创 自定义kali:增加60+常用渗透工具,哥斯拉特战版,cs魔改应有尽有,菜单栏启动
集合了六十多个工具,主要在菜单增加了非常多别人现成的工具,工具名单:信息收集:密探渗透测试工具水泽ehole灯塔dirsearchhttpxkscanlinkfindernmaptidefinger扫描工具awvsgobygolinkscanmsfnessusnucleixray渗透利器yakit(已下载所有插件、nuclei的yaml)冰蝎4.1哥斯拉特战版。
2024-12-27 13:57:27
682
原创 cve-2024-53376:CyberPanel RCE 已发布PoC
安全研究员 Thanatos 发现流行的虚拟主机控制面板 CyberPanel 存在一个严重漏洞 (CVE-2024-53376),攻击者可利用该漏洞完全控制服务器。安全研究人员 Thanatos 在 CyberPanel 2.3.7 版本上测试了该漏洞,证明它能够在系统的任何地方执行命令,以 root 权限写入文件。如果可以访问 CyberPanel 的安装文件夹,攻击者就可以进一步提取敏感数据,从而加剧漏洞的严重性。攻击者可借此绕过安全措施,在未经授权的情况下访问服务器的底层操作系统。
2024-12-18 12:57:04
487
原创 Fortify 24.2.0版本最新版 win/mac/linux
Fortify SCA作为一款业内主流的静态代码扫描工具,被广泛应用于白盒测试中。与其他静态代码扫描工具相比,Fortify SCA的突出优势主要在于更加广泛地支持的语言和开发平台、更全面和权威的安全规则库使扫描更加全面、更加智能化的自定义规则可减少误报。1、功能/更新·ARM JSON 模板 (IaC)·扫描 .NET 需要 .NET SDK 8.0。·默认 python 版本现在为 3。·默认扫描策略从经典改为安全。安全扫描策略从分析结果中排除了与代码质量有关的问题。
2024-12-16 12:44:53
3423
1
原创 一键梭哈工具!3697个xss payload助力h1赚美刀
最近看到老外在卖一个二十美刀一个月的反射xss扫描器,同时在github找到另一个老外做的差不多的开源工具,其实就是拿着payload一顿梭哈,那么我直接把这俩的payload提取去重,原来俩各有两千多个payload,去重后一共3697个,文末获取下载链接。Loxs多漏洞扫描器用于网络应用L本地文件包含 (LFI)O开放重定向 (OR)X跨站脚本 (XSS)S结构化查询语言注入 (SQLi)回车换行注入 (CRLF)Loxs是一个易于使用的工具,可以查找网络应用中的问题,如LFI。
2024-11-26 00:51:58
1019
原创 2024年wordpress、d-link等相关的多个cve漏洞poc
在未获得明确许可的情况下对系统或网站使用这些漏洞是非法的。作者对任何使用这些信息所产生的后果不负责任。**YARPP
2024-11-24 22:58:41
812
原创 C2工具vshell最新4.9.3版下载(带永久license)
vshell 是一款安全对抗模拟、红队工具。提供隧道代理和隐蔽通道,模拟长期潜伏攻击者的策略和技术。vshell 为您提供隧道代理和隐蔽通道,以模拟网络中的持久化攻击行为。支持多种协议、高兼容性、及强大的协作能力,帮助蓝队更好的评估安全设备水平,提高应急响应能力。
2024-11-15 12:11:08
1134
原创 awvs Acunetix-v24.9.241015145 win/linux版本
来源于pwn3频道,安全性未知,请在虚拟环境使用win版本附带了一键xxx,请默认未知安装后运行一键xxx即可手动教程请自行百度或查看压缩包内txt。
2024-11-04 19:27:40
408
原创 JR_T0213—2021 金融网络安全 Web应用服务安全测试通用规范.pdf
JR_T0213—2021 金融网络安全 Web应用服务安全测试通用规范.pdf
2024-10-19 16:24:31
393
原创 MD-NEXT 2.0 (Windows) - 移动取证软件
MD-NEXT – 移动取证软件适用于智能手机、功能手机、无人机、智能电视、可穿戴设备、物联网设备、USIM 卡、SD 存储卡、JTAG 板和 Chip-off 存储器的移动取证软件MD-NEXT 是一款用于从各种移动和数字设备中提取数据的取证软件 (sysin)。它支持 Android、iOS、Windows 操作系统、Tizen 操作系统和其他移动操作系统的物理和逻辑提取方法。
2024-10-09 18:34:49
1134
原创 Windows TCP_IP IPv6远程拒绝服务代码执行漏洞(CVE-2024-38063)
Windows TCP_IP IPv6远程拒绝服务代码执行漏洞(CVE-2024-38063)
2024-08-28 10:34:10
499
1
原创 泛微 e-cology v10 远程代码执行漏洞
泛微新一代数字化运营构建平台E10(e-cology10、eteams10),是基于原eteams平台之上全新研发,同时融合了原E9产品的所有功能,最终研发出全新平台。
2024-08-20 19:49:35
2375
原创 LiveBOS-UploadImage.do-任意文件上传漏洞
LiveBOS灵动业务架构平台,是面向对象的业务支撑平台与建模工具。在LiveBos的UploadImage.do接口中,发现了一处任意文件上传漏洞,攻击者可利用该漏洞上传任意文件。
2024-08-01 19:30:21
753
原创 当大黑客不得不用的临时匿名邮箱
棉花糖匿名邮箱(支持x64/x86/Arm):一个无限使用匿名邮箱的工具,多达十个不同后缀域名,支持自定义邮箱前缀,一次获取,十个后缀全部通用。2.使用方法一、随机邮箱点击“随机获取邮箱”,即可自动获得一个可用邮箱,选中复制即可开始收信,每十秒自动检测最新邮件,也可以获取此前缀历史邮件(不知道啥时候重置),效果如图:再次点击”获取随机邮箱“即可更换一个随机邮箱,原邮箱不再接收邮件。二、自定义前缀。
2024-07-31 03:23:38
939
原创 百易云资产管理运营系统 comfileup.php 文件上传致RCE
百易云是一家专注于物业不动产领域数字化系统研发及应用的国家高新技术企业。主营业务有“智慧物管”、“智慧资管”,拥有自主研发技术及产品的数字物业厂商,总部研发位于长沙,目前业务已经成功拓展至深圳、上海、广州等一线城市,为客户提供在线化、数字化、智能化“三化合一”的专业化服务。
2024-07-26 02:02:31
628
原创 1Panel面板最新前台RCE漏洞(CVE-2024-39911)
1Panel 是新一代的 Linux 服务器运维管理面板,用户可以通过 Web 图形界面轻松管理 Linux 服务器,实现主机监控、文件管理、数据库管理、容器管理等功能。网站监控功能影响 == 1panel/openresty:1.21.4.3-3-1-focal WAF功能影响
2024-07-26 01:57:27
1636
原创 突发!github公开爆出nacos RCE 0day 【已成功复现】
Nacos是一个开源的微服务架构平台,主要用于动态服务发现、配置管理和服务管理。此次0day影响范围极大。
2024-07-15 16:51:44
2136
原创 Brute Ratel C4红队框架 远控工具BRC4 1.4.5版本分享——附简单使用教程
本文提供的BRC4 1.4.5由41group泄露,棉花糖未参与制作,使用此工具需遵守法律法规,一切后果由使用者本人承担。
2024-07-01 12:44:06
2174
1
原创 0day千月影视APP存在任意文件上传漏洞【附poc】
千月影视这是一款追剧软件,有超多的电视剧和电影资源,每天还会更新最新的影片,用户可以在软件上快速的找到自己喜欢的影片进行观看,可以在线播放。文件上传漏洞是指当一个应用程序允许用户上传文件到服务器时,由于缺乏足够的安全措施,攻击者能够上传包含恶意代码的文件,进而执行未授权的操作或获取对系统的控制权。这种漏洞特别危险,因为它可以直接导致服务器被完全接管。
2024-06-25 13:24:04
334
原创 nessus的安装以及windows一键更新插件(带详细步骤)
由于近半年没有做nessus插件更新,很多师傅都来问有没有最新的插件,我每次都回答百度就有教程,自己手动一下就可以了,但很多师傅就是喜欢有一键的,以往的插件更新都需要等我或者其他公众号去更新,很麻烦,而且有滞后性,所以今天特别发布windows一键更新插件程序。
2024-06-25 03:46:10
2568
2
原创 通天星CMSV6存在SQL注入可导致文件写入漏洞 pointManage
通天星CMSV6中,存在接口pointManage存在注入漏洞,攻击者可写入恶意文件从而获取系统控制权。
2024-06-24 17:42:48
318
原创 Invicti最新版v24.6.0-windows版本
Invicti 是一种自动化但完全可配置的 Web 应用程序安全扫描程序,使您能够扫描网站、Web 应用程序和 Web 服务,并识别安全漏洞。Invicti 可以扫描所有类型的 Web 应用程序,无论其构建平台或语言。
2024-06-17 09:51:02
489
原创 还在买别人的漏扫GUI?使用Yakit,免做老韭菜
你是否希望能有一个工具可以只需要输入或者导入目标即可检测某一个oa或者某一个系统的漏洞?上网一查,好像大家都在售卖这种GUI?👇工具乍一看,哇好牛逼,输入或者导入目标就可以检测例如海康威视综合安防管理平台这种系统的历史漏洞,细一看,我操要钱!而现在,你不需要再去交智商税了!首先我们要清楚一件事,这些工具里面的漏洞,是什么未公开的0day吗?
2024-06-12 09:15:00
3056
原创 海康威视综合安防管理平台 AutoLoginTicket 远程代码执行漏洞
海康威视综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备。海康威视集成化综合管理软件平台,可以对接入的视频监控点集中管理,实现统一部署、统一配置、统一管理和统一调度。由于海康威视综合安防管理平台存在命令执行漏洞,未经身份验证的远程攻击者可利用此漏洞执行任意系统指令,从而获取服务器shell权限。
2024-06-11 12:39:48
834
原创 天智云智造管理平台 Usermanager.ashx 存在sql注入漏洞
天智云制造管理平台是一款专注于中小企业智能化生产管理的SaaS软件。该系统 Usermanager.ashx 存在sql注入漏洞,攻击者可获取数据库敏感信息。
2024-06-05 10:19:35
420
原创 漏洞扫描神器!最新版Acunetix-v24.5.14-Windows/Awvs24.5.14附一键脚本
AWVS(Acunetix Web Vulnerability Scanner)是一款专业的Web漏洞扫描工具,用于检测网站的安全漏洞。
2024-06-05 09:31:51
1373
转载 代码审计神器!扫描工具Fortify SCA 22.2.2
Fortify自定义规则编辑器:Terraform的结构规则自定义规则向导中单个块规则模板中的配置;现在将生成一个自定义规则来正确检测漏洞。
2023-03-25 10:25:17
1753
2
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人