對一個網站挖掘的深淺來說就得看你收集的如何，這說明信息收集在漏洞挖掘中是非常的重要的。 子域名收集 子域名收集是最簡單的收集手法之一，有很多在線的工具可以直接套用，這里分享幾個我經常用的。 開心的時候用用這個掃描器 為什么這么說，因為這是我寫的（你生氣用的話我怕我屏幕里突然冒出一個拖孩 ...

漏洞挖掘之資產收集(信息收集) 寫在前 忘了是在哪里看的一句話了，滲透測試的本質就是信息收集，確實，不管是滲透測試還是一些紅藍對抗中，都是一個信息收集的過程。之前也在跟一些面試的同志聊過關於信息收集的東西，千篇一律的回答就是那些東西，不管是在SRC眾測還是攻防演練中,在拿到一個主站域名后 ...

信息泄漏 概述 ​ 2011年，CSDN 600萬用戶資料泄露，且用戶密碼被明文保存。在這起事件被曝光的同時，國內其他網站用戶密碼泄露問題也浮出水面，公民隱私信息面臨着巨大的威脅。我們都活在這個信息時代，學習這個系列的漏洞，是為了更好的幫助企業去防御，保護我們的個人信息。共勉QAQ ...

Web之信息探測,從這篇開始就正式進入了Web滲透實戰過程了,嗯,前面都是講基礎,下面我們來講Web中的信息探測。 信息探測,主要的目的 收集目標服務器系統信息（IP,服務器所用系統等） 收集目標網站子域名 收集目標服務器開放的端口 搞清楚目標域名信息、目標網站 ...

1.危害 攻擊者可以利用該漏洞下載git文件夾里的所有內容。如果文件夾內有敏感信息比如站點源碼、數據庫賬戶密碼等，攻擊者可能直接控制服務器。 2.利用 使用工具GitHack GitHack.py http://www.openssl.org/.git/ 3.防御 及時刪除.git ...

根據手頭上的信息，最大化的利用，一次簡單的漏洞挖掘，感覺過程很有意思分享一下~0x01初始收集子域，也是滲透的初始。這里我只是簡單用了fofa發現了該公司用來管理合作的一些子域名然后發現是登錄管理頁面，深入然后發現很多的敏感信息。也是從其中的一處敏感泄露，引發了眾多漏洞的挖掘。整個測試其實就花了 ...

前言 在前些章節 （web安全系列（一）：XSS 攻擊基礎及原理）以及（Web安全系列（二）：XSS 攻擊進階（初探 XSS Payload））中，我詳細介紹了 XSS 形成的原理以及 XSS 攻擊的分類，並且編寫了一個小栗子來展示出 XSS Payload 的危害。 目前來說，XSS 的漏洞 ...

這個指北不會給出太多的網站和方向建議，因為博主相信讀者能夠從一個點從而了解全局，初期的時候就丟一大堆安全網址導航只會澆滅人的熱情，而且我也不適合傳道授業解惑hhh 安全論壇： 先知社區 freebuf 安全客 安全入門書籍： 《Web安全攻防：滲透測試實戰指南》 如果是想先接觸一下 ...