排序
Java代码审计中的CSRF漏洞检测
前言 CSRF跨站请求伪造(Cross-site request forgery)是一种安全漏洞,当某个接口没有设置CSRF验证时,用户点击了恶意链接就有可能导致对该接口发送数据,从而使得数据被篡改。这种攻击常见于...
Java代码审计中的SSTI漏洞检测与防范
1. 漏洞挖掘 1.1.1 Velocity <code>@RequestMapping('/ssti/velocity') public String velocity(@RequestParam(name = 'content') String content) { Velocity.init(); VelocityContext velo...
Java代码审计中的SSRF漏洞检测与防范
1.1 漏洞挖掘 原生方法: <code>String url = request.getParameter('url'); URL u = new URL(url); // 直接打开URL,可以跨协议 InputStream inputStream = u.openStream(); // 使用URLConn...
SpringBoot扫描工具SBSCAN,轻松发现潜在风险
一、SBSCAN简介 在渗透测试中,Spring Boot框架是一个常见的目标。为了方便测试是否存在敏感信息泄漏和Spring相关漏洞,我们开发了SBSCAN工具。 二、认识攻击目标 Spring Boot:Spring Boot是基...
Arachni:专业的Web漏洞扫描工具
Arachni 是一个功能齐全、模块化、高性能的 Ruby 框架,专为渗透测试人员和管理员设计,旨在评估 Web 应用程序的安全性。 与其他扫描工具不同,Arachni 考虑了 Web 应用程序的动态特性,能够检...
AFORG:便捷快速的漏洞扫描工具,提升网络安全效率
afrog是一款出色的漏洞扫描工具,以其卓越的性能、快速稳定的特点,以及可定制的PoC(Proof of Concept)功能而著称。PoC包括CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意文件读...
自动化Web漏洞检测工具 Find-Vulnerability:全面保障您的在线安全
工具介绍 F-vuln(全称:Find-Vulnerability)是一款自动化扫描工具,专为日常安全服务、渗透测试人员和红队人员设计。它集成了多种功能,包括存活IP探测、开放端口探测、web服务探测、web漏洞...
Nikto漏洞扫描神器详细介绍与使用方法
正文: Nikto是一款功能强大的综合性漏洞扫描工具,广受肾透者们的青睐。它支持对常见漏洞如跨站脚本(XSS)、SQL注入等进行扫描,不仅使用简单,而且扫描效率也非常高。 扫描功能示例: 普通扫...
使用Uniscan进行网站漏洞扫描以提高安全性
Uniscan是一款强大的联合性扫描工具,专注于远程文件包含、本地文件包含和远程命令执行漏洞扫描,同时提供指纹识别、DNS域名解析查询、OS检测等多项功能。特别适合初学者学习WEB安全。以下是安...
Elasticsearch安全漏洞检测与修复指南
备注:本文重在检测合修复,适合甲方人员查阅 漏洞简介 Elasticsearch使用JAVA语言开发并作为Apache许可条款下的开放源码发布,它是当前流行的企业级搜索引擎,其增删改查操作全部由HTTP接口完...
“Intel SA 00086 – 用于检测英特尔管理引擎漏洞的工具(适用于Windows和Linux)”
Intel SA 00086是一款用于检测英特尔管理引擎(Intel Management Engine)漏洞的工具,适用于Windows和Linux操作系统。这个工具旨在帮助用户识别和应对潜在的安全威胁,特别是涉及到计算机硬件...
Spectre Meltdown CPU Checker – 一键检查 Spectre 和 Meltdown 漏洞对您的电脑是否产生影响 [Windows]
Spectre Meltdown CPU Checker 是一款适用于 Windows 操作系统的实用工具,它的主要功能是帮助用户一键检查他们的计算机是否受到 Spectre 和 Meltdown 漏洞的影响,以确保系统的安全性和性能。 ...