ReconInspector-一款集 FOFA、Nuclei 与poc模板调试于一体的可视化安全巡检平台 ReconInspector-一款集 FOFA、Nuclei 与poc模板调试于一体的可视化安全巡检平台 免责声明: 本文内容仅用于安全研究与学习,请在合法授权的环境中使用,严禁用于任何非法用途。因使用不当造成的后果由使用者自行承担,并应遵守相关法律法规。 工具介绍 ReconInspector是一款面向日常安全测试场景的可视化工具,围绕“资产收集 → 漏洞验证 → 模板调试”这一核心流程进行设计,将常 2026-04-12 工具使用 0 Administrator
Apache Struts2 OGNL RCE注入 Apache Struts2 OGNL RCE注入 1.什么是Apache Struts2? Apache Struts2(也称为 Struts2)是一个开源的 Java Web 应用框架。 它主要用于构建企业级 Java EE Web 应用程序,提供 MVC(Model-View-Controller)架构支持,帮助开发者快速开发可维护的 Web 2026-01-16 漏洞复现 23 Administrator
XXE 漏洞全解析:从成因分析、手工探测到防御实战 XXE 漏洞全解析:从成因分析、手工探测到防御实战 概述 XML(eXtensible Markup Language)用于传输与存储结构化数据,关注数据本身的语义,与用于显示的 HTML 不同。XXE(XML External Entity Injection)是指在应用解析不安全的 XML 输入时,允许外部实体(external entity)被 2026-01-09 XXE 7 Administrator
跨域安全与 UI 补偿攻击:JSONP 数据劫持与点击劫持深度解析 跨域安全与 UI 补偿攻击:JSONP 数据劫持与点击劫持深度解析 JSONP(JSON with Padding)是一种用于解决跨域数据请求的变通方案,核心原理是利用 <script> 标签的跨域特性绕过同源策略。通过将返回内容包裹在回调函数中,使得数据以 JavaScript 的形式被执行。 JSONP 点击劫持漏洞 JSONP(JSON with Paddin 2026-01-09 top10 9 Administrator
XSS 绕过实战:编码变形、标签混淆与 CSP/WAF 绕过全攻略 XSS 绕过实战:编码变形、标签混淆与 CSP/WAF 绕过全攻略 XSS 绕过过滤的思路 在 XSS(跨站脚本攻击) 测试和绕过过滤时,通常会遇到各种安全机制,如 WAF(Web应用防火墙)、输入验证、编码过滤等。以下是一些常见的绕过思路,帮助你在渗透测试时提高 XSS 攻击成功率。 1. 编码绕过 (1)URL 编码 部分 WAF 可能不会解码 URL 编码的输 2026-01-09 Web安全 11 Administrator
Web 安全防御指南:CSP、HttpOnly 与 XSS Filter 深度解析 Web 安全防御指南:CSP、HttpOnly 与 XSS Filter 深度解析 XSS 跨站 — 安全防御:CSP / HttpOnly / XSSFilter 下面整理了三类常见的 XSS 防御技术:CSP(Content Security Policy)、HttpOnly Cookie 与基于过滤/编码的 XSS 过滤器,包含原理、实践配置、实验提示与常见绕过/注意点。 一 2026-01-09 XSS 9 Administrator
XSS 跨站脚本深度利用:凭据盗取、业务数据提交、钓鱼攻击与溯源工具指南 XSS 跨站脚本深度利用:凭据盗取、业务数据提交、钓鱼攻击与溯源工具指南 XSS 跨站 — 攻击利用:凭据盗取 / 数据提交 / 网络钓鱼 / 溯源综合 漏洞原理:接受输入数据,输出显示数据后解析执行。 基础类型:反射(非持续)、存储(持续)、DOM-BASE。 拓展类型:jquery、mxss、uxss、pdfxss、flashxss、上传xss 等。 常用资料:htt 2026-01-09 Web安全 5 Administrator
XSS 进阶实战:MXSS、UXSS 以及 SVG/PDF/Flash 等非传统载体解析 XSS 进阶实战:MXSS、UXSS 以及 SVG/PDF/Flash 等非传统载体解析 XSS 进阶:MXSS / UXSS / SVG / PDF / SWF 等载体与复现方法 下面整理一些进阶 XSS 载体与攻击面,包括 MXSS、UXSS(浏览器或扩展层面的 XSS)、以及 SVG、PDF、Flash(SWF) 等非传统图片/文件格式作为 XSS 载体的原理与示例。 MXSS & 2026-01-09 Web安全 4 Administrator
XSS 跨站脚本攻击详解:原理、分类、实战检测与安全防御全指南 XSS 跨站脚本攻击详解:原理、分类、实战检测与安全防御全指南 XSS 跨站 — 输入/输出、原理、分类与闭合 漏洞概述 XSS(跨站脚本)本质上是:接收外部输入 → 输出到页面并被浏览器解析/执行。根据输入/输出的保存与执行位置,XSS 可以分为反射型、存储型、DOM 型等。 漏洞原理 原理简述:应用接收不可信输入并在输出时未做适当处理(或客户端脚本不安全地使 2026-01-09 Web安全 10 Administrator
SSRF 利用笔记:协议利用、gopher 构造与内网服务攻击 SSRF 利用笔记:协议利用、gopher 构造与内网服务攻击 概述 下面把你提供的片段整理为 Hugo 可用的 Markdown 格式(包含前置元数据),保持原始示例与命令/报文不变,便于直接复制到 content/ 下作为教程页面。 file:// 协议 可以通过以下路径检查或读取目标可访问的本地文件: file:///etc/passwd # 检 2026-01-08 Web安全 15 Administrator