initsec_个人页

initsec

文章

问答

视频

个人介绍

暂无个人介绍

擅长的技术

渗透测试
Go
Python

获得更多能力

通用技术能力：

暂时未有相关通用技术能力~

云产品技术能力：

暂时未有相关云产品技术能力~

阿里云技能认证

详细说明

高分内容

最新动态

文章
问答
视频

暂无更多信息

2023年06月

06.06 21:25:13

发表了文章 2023-06-06 21:25:13

【WEB安全】SMTP注入

漏洞介绍 SMTP是用于发送和传递电子邮件的协议，定义了邮件的传输方式和交流规则。 SMTP注入是指可通过添加/控制邮件头的方式，篡改邮件的发送者、抄送、密送等字段，从而达到欺骗、窃取邮件信息或劫持邮件传递的目的。既然归属到注入类，说明也是对用户输入未严格过滤，从而达到非预期的结果。邮件头介绍常见邮件头代表的含义如下：邮件头字段
06.05 09:37:30

发表了文章 2023-06-05 09:37:30

【白嫖】GitHub Action 云扫描器

GitHub Action介绍 GitHub Actions 是一种持续集成和持续交付 (CI/CD) 平台，可用于自动化构建、测试和部署应用程序，执行代码质量检查，创建和发布软件包，发送通知，执行持续集成和持续部署等等。可以根据自己的需求和工作流程来定义和配置这些自动化任务。 - 官方中文文档 (https //docs.github.com/zh/actions/quick

2023年05月

05.30 15:41:00

发表了文章 2023-05-30 15:41:00

【WEB安全】详解信息泄漏漏洞

1.1. 漏洞介绍由于网站管理员运维不当，可能会将备份文件、数据库配置文件等敏感文件存放在WEB目录下公开访问，攻击者可以轻松地访问这些敏感文件，从而了解系统的配置细节、密码信息、数据库凭据等重要数据，扩大的攻击面。这种泄漏敏感信息的情况就属于信息泄漏漏洞。 1.2. 漏洞发现主要以目录扫描为主，可参考目录扫描 (https //blog.gm7.org/个人知识库/0
05.24 10:17:34

发表了文章 2023-05-24 10:17:34

【WEB安全】任意URL跳转

1.1. 漏洞介绍 URL跳转漏洞（URL Redirection Vulnerability）又叫开放重定向漏洞（Open Redirect Vulnerability），是一种常见的网络安全漏洞，它存在于许多网站和应用程序中。该漏洞的根本原因是没有对用户提供的URL进行充分的验证和过滤，导致攻击者可以通过构造恶意URL，将用户重定向到任意的网站或应用程序中。 1.2. 漏洞危害
05.23 10:41:18

发表了文章 2023-05-23 10:41:18

【WEB安全】不安全的反序列化

1.1. 什么是序列化和反序列化序列化和反序列化是指用于将对象或数据结构转换为字节流的过程，以便在不同系统之间进行传输或存储，并在需要时重新构造。序列化是指将对象或数据结构转换为字节流的过程。在序列化过程中，对象的状态和数据被转换为一系列字节，这些字节可以按照一定的协议进行传输或存储。序列化通常用于将对象存储到磁盘或通过网络发送到其他系统。序列化后的字节流可以被保存下来，以后
05.22 11:13:25

发表了文章 2023-05-22 11:13:25

详解越权漏洞

1.1. 漏洞原理越权漏洞是指应用程序未对当前用户操作的身份权限进行严格校验，导致用户可以操作超出自己管理权限范围的功能，从而操作一些非该用户可以操作的行为。简单来说，就是攻击者可以做一些本来不该他们做的事情（增删改查）。
05.17 09:54:47

发表了文章 2023-05-17 09:54:47

深入了解CORS数据劫持漏洞

1.1. CORS介绍 CORS（跨源资源共享）是一种用于在Web应用程序中处理跨域请求的机制。当一个Web应用程序在浏览器中向不同的域（源）发起跨域请求时，浏览器会执行同源策略，限制了跨域请求的默认行为。同源策略要求Web应用程序只能访问与其本身源（协议、域名和端口）相同的资源。然而，在某些情况下，我们希望允许来自其他源的跨域请求，例如使用AJAX进行跨域数据访问或在前端应用程序中嵌
05.16 14:03:50

发表了文章 2023-05-16 14:03:50

快速生成定制化的Word文档：Python实践指南

1.1. 前言众所周知，安服工程师又叫做 Word工程师，在打工或者批量SRC的时候，如果产出很多，又需要一个一个的写报告的情况下会非常的折磨人，因此查了一些相关的资料，发现使用python的 docxtpl 库批量写报告效果很不错，记录一下。 1.2. 介绍 docxtpl 是一个用于生成 Microsoft Word 文档的模板引擎库，它结合了 docx
05.14 09:31:33

回答了问题 2023-05-14 09:31:33

3.31世界备份日：你都在使用哪些备份方式？

赞0 踩0 评论0
05.14 09:28:22

发表了文章 2023-05-14 09:28:22

Hexo 个人博客搭建

hexo Github Pages博客搭建全过程声明：演示环境为Ubuntu 16.04，记录时间为16～17年。创建仓库 !NOTE 目的是使用GitHub Pages来部署我们的博客。注册GitHub账号，官网地址：https //github.com/ 登录后如下图，点击创建仓库
05.12 19:16:55

发表了文章 2023-05-12 19:16:55

通过TOR绕过IP锁定

平时做项目或者挖SRC的过程中，在遇到扫目录或者凑低危用户名枚举等会有大量请求的情况时，总有各种WAF出来拦截，而且通过各种方式还绕不掉，只能通过换IP的形式来进行绕过。本文就主要说明如何通过TOR实现动态IP的方式来绕过IP锁定机制。
05.11 13:54:07

发表了文章 2023-05-11 13:54:07

WebRTC 真实IP泄露防范

很多人可能误以为使用代理就可以完全隐藏我们的真实IP地址，但实际并不总是这样。
05.10 12:30:38

发表了文章 2023-05-10 12:30:38

限定源端口访问目标

限定源端口访问目标 1.1. 起因在渗透测试时，客户需要对我们的测试IP进行加白，但是此次客户要求精确到固定端口或者小范围端口（不能1-65535），根据以前的经验，默认是加白IP和全端口，因为代理建立连接使用的端口是随机的，所以这次算是从头查找资料总结一下各种指定源端口的方式。这里的端口是指与目标建立连接时使用的源端口，而不是代理监听的端口。 1.2. 注意最
05.09 13:55:55

发表了文章 2023-05-09 13:55:55

Android Deep Link 攻击面

目录结构 Deep Link介绍 (https //blog.gm7.org/个人知识库/04.移动安全/07.高阶技巧/01.Android Deep Link 攻击面.html deep-link介绍) - 概念 (https //blog.gm7.org/个人知识库/04.移动安全/07.高阶技巧/01.Android Deep Link 攻击面.html 概念) - 应用场
05.08 11:26:45

发表了文章 2023-05-08 11:26:45

一文深入了解CSRF漏洞

1.1. 定义跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding ，通常缩写为 CSRF 或者 XSRF ，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本（XSS）相比， XSS 利用的是用户对指定网站
05.07 19:46:05

发表了文章 2023-05-07 19:46:05

删除GitHub上的历史commit

1. 背景由于之前的加水印脚本存在问题，在对同一张图片进行加水印时，会有一定的概率产生不一样md5的图片，在git提交的时候，就认为被修改了，从而被提交的github仓库中，如此反反复复，到现在已经有11个G大小了；今天把水印脚本重写了一下，解决了上述问题，所以准备给之前的垃圾提交清理了，让我的博客变成一个“新库”。