搜索 “XSS”

不再关注网络安全

pixload:图片Payload创建注入工具

pixload:图片Payload创建注入工具

pixload 用于创建/将Payload注入图片的工具集。其用途与安全防范场景例如:绕过CSP防护,用图片隐藏恶意攻击代码,在图片中编码webshell,利用图片进行XSS等等。 pixload安装 需要以下Perl模块: GDImage::ExifToolString::CRC32 git clone https://github.com/chinarulezzz/pixload ...

适用于Linux和Android的一体化黑客工具包:hacktronian

适用于Linux和Android的一体化黑客工具包:hacktronian

一个黑客所需的渗透测试黑客工具包,可运行于Linux和Android系统中。 hacktronian黑客工具包 HACKTRONIAN 菜单 信息收集密码攻击无线测试开发工具嗅探和欺骗WEB黑客隐私网络黑客渗透利用安装HACKTRONIAN 信息收集 NmapSetoolkitPort ScanningHost To IPwordpress userCMS scannerXSStrikeDork - Google Dorks Passive Vulner...

RapidScan – 自动化多工具Web漏洞扫描器

RapidScan – 自动化多工具Web漏洞扫描器

RapidScan漏洞扫描器 以往进行安全检测时我们都需要一个接一个的运行安全扫描/审计工具,来收集信息以便 进一步修复安全漏洞。但这样做效率太低了,能否实现自动化呢?即运行多个扫描工具来发现漏洞并合为一体,有效地判断误报,相互关联结果并节省宝贵的时间 ,RapidScan就是这样一款漏洞扫描器。 RapidScan漏洞扫描器 - 帮助 Rap...

SaiDict:弱口令/敏感目录/敏感文件等渗透测试常用字典

SaiDict:弱口令/敏感目录/敏感文件等渗透测试常用字典

SaiDict 渗透测试字典 该项目维护者收藏了弱口令,敏感目录,敏感文件等渗透测试常用攻击字典。用于项目的安全审计与安全检测。 渗透测试字典项目 目前字典的目录大概分布如下: 账户字典 |-常用弱密码 |-常用账户名 |-中国人名拼音 |-常用手机号 fuzz字典 |-LDAP注入 |-SQ...

SecLists:安全测试伴侣,渗透测试资源收集项目

SecLists:安全测试伴侣,渗透测试资源收集项目

SecLists介绍 SecLists是安全测试人员的伴侣工具箱,渗透测试工具资源收集。它是在安全评估期间使用的多类型渗透测试资源的集合。类型包括用户名,密码字典,URL,敏感数据,模糊测试payloads,Webshell,XSS等等。目标是使安全测试人员能够将此存储库拉到新的测试工作中,并可随时访问需要的类型列表。 SecLists下载 压缩方式...

Bashter:一个WEB爬虫扫描器分析框架

Bashter:一个WEB爬虫扫描器分析框架

Bashter介绍 Bashter是一个WEB爬虫扫描器(基于Shell脚本)。非常适合做Bug挖掘或渗透测试。它的设计类似于框架,因此您可以轻松添加用于检测漏洞的脚本。 Bashter爬虫界面 Bashter特性 网络爬虫收集输入表格检测配置错误的CORS检测丢失的X-FRAME-OPTIONS(Clickjacking Potential)通过URL检测反射的XSS通过表格检测反射的XSS...

Exploit-Dictionary:渗透测试字典一份

Exploit-Dictionary:渗透测试字典一份

收藏整理的渗透测试字典 字典内容已经去重 Port 出现频率较高的端口号,平时我是使用Telnet来扫描端口,就没有每个端口号进行换行。 User 主要是一些从网络上收集的用户密码字典。 /IDC_password/         # IDC 爆破密码/User_name/            # 用户名/User_pa...

ngx_lua_waf:一个基于OpenResty(Nginx+Lua)的web应用防火墙

ngx_lua_waf:一个基于OpenResty(Nginx+Lua)的web应用防火墙

ngx_lua_waf web应用防火墙 ngx_lua_waf是一个基于OpenResty(Nginx+Lua)的web应用防火墙。而ngx_lua是一种可以把lua语言嵌入nginx中,使其支持lua来快速开发基于nginx下的业务逻辑的技术。 实现功能 防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击防止svn/备份之类文件泄漏防止ApacheBench之类压力测试工...

被Palo Alto 4.1亿美元收购的Twistlock是一家什么公司?

被Palo Alto 4.1亿美元收购的Twistlock是一家什么公司?

  • 2019-06-10
  • 周边
  • 6483 阅读

近日Palo Alto公告,计划在其第四财季以4.1亿美元收购Twistlock。Twistlock对于国内用户而言,如果没有特意关注过RSA大会,云安全,容器安全,云原生安全或云工作负载保护平台等相关主题的话,可能不是很熟悉,笔者一直从事终端安全,数据安全方面的工作和研究,因此对Twistlock一直略有关注,在这里把以前收集的资料做一些整理,一起来看看...

Nginx的跨域Content Security Policy通行设置

Nginx的跨域Content Security Policy通行设置

  • 2019-06-08
  • 日志
  • 2.1万 阅读

场景描述 A站点HTTPS,A站点做为中心站,引用B/C/D/E/F……站点的资源进行供给,确定的只有A站点是HTTPS,其它站点可能是HTTP也可能是HTTPS,文件类型不限定,包括但不限于:CSS,JS,IMAGE,MP4,MP3,RAR,ZIP,M3U8,FLV……。 如果你使用的是默认配置,那么它会提示以下错误: Access to XMLHttpRequest at '...