- 博客(4)
- 收藏
- 关注
RSS订阅原创 渗透测试中的ffuf
摘要: ffuf是一款高性能的Go语言Web模糊测试工具,以其高并发和灵活性著称,支持目录扫描、子域名枚举、参数Fuzzing等多种渗透测试场景。通过自动化探测隐藏资源(如后台接口、备份文件)和输入点(URL参数、请求头),ffuf能高效发现漏洞(如SQL注入、信息泄露)和绕过访问控制。其核心优势包括多条件过滤、字典灵活支持及多种输出格式,结合SecLists等字典库可显著提升测试效率,是现代Web渗透测试中不可或缺的自动化工具。典型应用包括递归目录扫描、子域名爆破及POST数据Fuzzing。
2025-08-18 01:06:51
1104
原创 CVE-2025-29927 Next.js 中间件鉴权绕过漏洞复现
Next.js框架存在中间件授权绕过漏洞(CVE-2025-29927),影响11.1.4至13.5.6、14.0至14.2.25和15.0至15.2.3版本。攻击者可通过在请求头中重复添加"x-middleware-subrequest"字段超过5次,绕过中间件鉴权机制访问受保护资源。漏洞成因是当中间件标识超过阈值时系统会返回指纹识别而非执行鉴权。复现环境可通过Docker搭建,使用BurpSuite拦截登录请求并添加恶意请求头即可实现未授权访问。建议用户及时升级至安全版本修复该漏洞。
2025-08-13 15:00:52
545
原创 eWPTXv2学习--1.intro
本文介绍了Web应用安全测试的标准方法论,包括PTES和WSTG框架。详细阐述了测试流程的11个关键阶段:从前期准备、信息收集、威胁建模到漏洞扫描、手动测试、认证授权测试等,最后到报告输出。文章推荐了OWASP Top 10漏洞标准、Google Dorking信息收集技术以及OWASP ZAP等实用工具,提供了完整的测试checklist和在线资源链接,帮助测试人员系统化地进行安全评估。
2025-08-12 20:26:35
732
转载 Kali kde桌面安装中文输入法
在菜单栏界面,打开fcitx-configuration进行配置,也无法搜索到任何输入法。在网上搜索下载google拼音和搜狗输入法的deb包进行安装,重启同样无法配置调出输入法。配置好,可以再次打开fcitx-configuration配置自己想要的输入法。重新装系统并且安装kde桌面后,在安装中文输入法过程中的一点经验。不用重启,直接crtl+空格调出输入法,done。一路ok选项,在多选项那一步,选择倒数第三项。重启后,使用crtl+空格无法调出输入法。
2024-11-19 15:04:25
662
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人