响应云安全团队

学的不是技术,是梦想

登录页面弱口令之邪修(一)

在我们渗透登录页面在测试弱口令的时候像(图片1)的一样没有账号错误的回显,就单单一个密码错误这就很让人头大。 邪修办法就是通过登录验证接口的总耗时来判断账号的正确与错误,经过我多次测发现这个办法对于大部分网站都可以使用此办法。 直
作者:看似大佬实则菜鸟
分类: CTF技巧
标签: #Halo

JavaWebsec-从基础到入门1

Java SE Java平台共分为三个主要版本Java SE(Java Platform, Standard Edition-Java平台标准版)、Java EE(Java Platform Enterprise Edition
作者:Cookie
标签: #Halo

走出新手村(二)

登录框渗透思路 很多人在日常的src挖掘中遇到这种后台登录框就是弱口令爆破,显得毫无头绪。 今天我就在这里分享一些渗透思路!!! 弱口令爆破 我们可以尝试输入账号为admin/root/admin123/root123 ...... 尝试一些默认账号 看页面是否有回显
作者:看似大佬实则菜鸟
分类: CTF技巧

js扫描工具

jsapi工具用于收集敏感信息可以扫描当前网页所使用api接口 使用教程 用cmd运行指令 JSAPIscan_windows.exe -u 要扫描的url 效果截图 工具: jsapi扫描.zip
作者:看似大佬实则菜鸟

蜜獾识别器

狗蛋蜜罐识别器.zip 话不多说直接上工具 可以识别全球95%的蜜獾网站 使用方法:解压zpi----->导入浏览器插件即可 工具来源于 ---明小子
作者:看似大佬实则菜鸟

CTF之Web安全系列课程(一)笔记

CTF之Web安全系列课程(一)笔记 1 课程准备 1.1 课程介绍 1.1.1 课程说明 课程特点:以CTF比赛为引领学习Web安全;面向掌握Linux基本操作的零基础初学者;理论与实践相结合,兼顾原理与应用。 CTF竞赛主要内容:包含WEB(Web漏洞挖掘与利用)、REVERSE(二进制代码逆向
作者:Administrator
分类: CTF技巧

2025 一带一路暨金砖国家技能发展与技术创新大赛 【网络安全防护治理实战技能赛项】样题

2025 一带一路暨金砖国家技能发展与技术创新大赛 【网络安全防护治理实战技能赛项】样题 模块一:网络安全设备(500 分)
作者:Administrator
分类: CTF技巧

走出新手村(一)

皮卡丘靶场打法思路 http消息头payload //' or updatexml(1,concat(0x7e,datebase()),0) or' //---->宽字节 --->除了英文其他都是占两个字节 (看抓包信息有什么个%号即可) ----> %df 转义后 可以加上单引号 ’ 进行逃逸 后
作者:看似大佬实则菜鸟
分类: CTF技巧

学Xss要会打Cookie 解题思路

学Xss要会打Cookie 解题思路 by:响应云安全 公众号: 响应云SRC 题目是好靶场的 自行搜索 1. 存储型 XSS 原理 存储型XSS又称持久型XSS,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。 典型流程: 受害者访问恶意链接 → 页面注入脚本 → 脚本执行
作者:Administrator
分类: CTF技巧

信息收集介绍

前言 一、资产信息收集 1.主域名资产收集 1)ICP备案查询 2)DNS记录查询 3)Whois查询包括在线网站和邮箱反查 4)IP反查可利用网络空间搜索引擎或者威胁情报中心 2.子域名资产收集 1)DNS域传送 2)公开dns数据集 3)通过搜索引擎 4)通过网络空间搜索引擎 5)子域名的信息泄
作者:Administrator
分类: SRC实战
共 11 篇文章
友情链接
暂无友情链接