信息泄露-常见敏感文件总结 Git泄露简介Git 是一个开源的分布式版本控制系统,用于跟踪和管理文件的变化,主要用于软件开发。它允许多个开发者同时工作,并记录每个文件的修改历史,以便在需要时恢复到之前的版本。 泄露原因git在初始化项目的时候, 会在项目的根目录创建一个名为.git的隐藏文件夹, 里面包含了本地所有commit的历史记录. 如果无意间将这个目录置于WEB的路径下让用户可以访问, 那么也就泄露了几乎所有的源代码 2024-07-17 WEB攻防 #信息泄露
浅析OSS存储桶漏洞 环境搭建搭建一个阿里云OSS,可以选择试用 https://www.aliyun.com/product/oss?spm=5176.28536895.nav-dropdown-menu-0.19.53dd586ckiS3OP&scm=20140722.X_data-47ed1f95c8b1f5f652d4._.V_1 访问存储桶的几种场景 这种有key id等等数据的就算成功访问了 2024-07-16 云安全 #OSS存储桶漏洞
CORS跨域资源共享漏洞-一次崎岖的学习记录 先来首音乐:whoa 同源策略同源策略简介同源策略(Same-Origin Policy)是浏览器的一种安全机制,用于限制一个源(域名、协议或端口号的组合)的文档或脚本如何与来自另一个源的资源进行交互。具体来说,同源策略阻止不同源之间的网页通过脚本访问对方的资源或执行恶意操作,这有助于保护用户数据安全和隐私。 根据同源策略的规定,浏览器只允许来自同一源的文档之间共享资源(如脚本、样式表和图 2024-07-15 WEB攻防 #CORS跨域资源共享漏洞
调用FFUF实现批量的小脚本FFUF_Batch 项目地址:https://github.com/X1lyS/ffuf 前言FFUF是一个用Go语言编写的高速Web模糊测试工具。常被用来FUZZ、目录扫描,因其极快的速度和爆破位置、字典路径十分灵活,几乎成为了FUZZ、目录扫描的不二选择,也是使用量最大的目录扫描工具之一。但是FFUF一次只能对一个url进行目录扫描,不能实现批量扫描,于是就有了这个小脚本的出现。网上其实也有这种类似的小脚本, 2024-07-13 工具 #弥补FFUF实现批量
FFUF用法手册 FFUF 用法手册 前言:FFUF是最好用的目录扫描、FUZZ的工具之一,经常使用且用法灵活多样,于是整理一个用法手册方便查询使用命令 简介FFUF(Fast Unrestricted Web Fuzzer)是一个快速、灵活的Web应用程序扫描工具,用于发现隐藏在Web服务器中的路径或文件。它的主要功能是通过暴力猜测(brute-forcing)来查找目标主机上存在的文件或目录,从而帮助发现可能 2024-07-12 工具 #FFUF用法手册
Webpack源代码泄露漏洞研究 Webpack源代码泄露漏洞研究Webpack简介Webpack 是一个用于现代JavaScript应用的模块打包器(module bundler)。它的主要功能是将项目中的各种资源(JavaScript、CSS、图片等)作为模块进行管理和打包,生成一个或多个bundle文件,以提高项目的加载和运行效率 Webpack功能简单看一眼就行,不用做细致研究: 1. 模块打包(Module Bundli 2024-07-12 WEB攻防 #前端webpack泄露
云主机密钥泄露 前言: 在当今数字化时代,云计算已成为企业和个人管理和存储数据的主要方式之一。云服务提供商如AWS、Azure和GCP提供了灵活、高效和可扩展的解决方案,使得业务可以快速部署和运行。然而,随着云计算的普及,安全问题也随之而来。其中,云主机密钥泄露成为一个日益严重的安全漏洞,给用户带来了巨大风险。云主机密钥是访问和管理云资源的重要凭证,一旦泄露,攻击者可以利用这些密钥未经授权地访问、篡改甚至删除数 2024-07-12 云安全 #云主机密钥泄露
浅谈postMessage安全问题其一 浅谈 postMessage 安全问题(一)什么是同源策略同源策略(Same-Origin Policy)是浏览器的一种安全机制,用于限制一个源(域名、协议或端口号的组合)的文档或脚本如何与来自另一个源的资源进行交互。具体来说,同源策略阻止不同源之间的网页通过脚本访问对方的资源或执行恶意操作,这有助于保护用户数据安全和隐私。 根据同源策略的规定,浏览器只允许来自同一源的文档之间共享资源(如脚本、样 2024-06-27 WEB攻防 #postMessage安全
那些不寻常的XSS场景小总结 前言:挖掘xss漏洞时,我们常常关注的是搜索框,留言板,url参数等等。其实以下的场景有时也可以考虑测试一下,往往会有意想不到的收获…… 登录时的警告信息 登录时,我尝试输入万能密码SQL注入,用户名:admin ‘ or 1=1 – +,密码:随意 结果出现了安全警告信息!前端返回了我输入的有恶意语句的用户名,那么显然这里就是一个可控点,尝试能不能XSS 用户名输入 2024-06-23 WEB攻防 #不寻常的XSS场景
PHP-代码审计项目-梦想CMS-前台注入 前言:俺开始学代码审计了,之前一直在黑盒方面学习,黑盒漏洞挖掘,没有接触过白盒,于是开始学习代码审计。【PHP代码审计项目】系列是一些用来学习练手的CMS的审计笔记,写的不好,但是也是一个记录吧,多年之后再看也是会感慨万千吧哈哈,最后学习完了代码审计我会写一个总结性的文章,还望各位大佬师傅轻喷,欢迎随时指教小弟…… 审计环境 phpstudy 2018 php-5.4.45 + Apache 2024-06-21 PHP代码审计项目 #梦想CMS-前台注入