登录
下载

Skill UI

浏览并发现 9778+ 精选技能
全部 编程开发 人工智能 设计创意 产品商业 数据科学 市场营销 职场通用 效率工具 硬件工程 语言学习
搜索 利用 ,共找到 439 条记录
默认排序 最新上传 最多下载

CSRF跨站请求伪造攻击手册

csrf-cross-site-request-forgery
yaklang/hack-skills
173
本手册提供了一份专业的CSRF跨站请求伪造漏洞测试指南,用于深入审计Web应用的防伪造机制。内容覆盖了识别所有状态改变的端点,包括绕过各种类型的CSRF令牌(如未验证或可预测的令牌),并深入探讨了利用SameSite属性的边界情况(如GET方法攻击)和JSON API的攻击载荷构造,适用于安全审计和渗透测试。
查看详情

CSV/电子表格公式注入测试

csv-formula-injection
yaklang/hack-skills
224
本技能详细介绍了在CSV、Excel、LibreOffice和Google Sheets环境中利用公式注入漏洞的进阶技术。它涵盖了DDE调用、数据混淆方法以及高风险的IMPORT*函数。当用户控制的数据被导出或导入到电子表格软件时,这些技术可被触发,主要用于数据管道和导出功能的渗透测试。
查看详情

DeFi攻击模式专家手册

defi-attack-patterns
yaklang/hack-skills
81
本手册提供一份关于去中心化金融(DeFi)高级漏洞利用的详尽Playbook。内容涵盖闪电贷机制、价格预言机操纵、MEV捕获策略(如夹层攻击),以及治理和智能合约的各类底层漏洞,是安全审计和风险评估的必备工具。
查看详情

依赖混淆供应链攻击手册

dependency-confusion
yaklang/hack-skills
225
本指南提供一套完整的依赖混淆攻击(Dependency Confusion)实战手册。它详细介绍了攻击原理,即组织内部私有包名在公共仓库的泄露和利用,从而进行授权的供应链安全测试和红队演练。适用于安全工程师和开发人员。
查看详情

反序列化漏洞专家攻击手册

deserialization-insecure
yaklang/hack-skills
261
本手册提供了一份全面的指南,详细介绍了跨Java、PHP和Python等主流语言进行不安全反序列化漏洞攻击的专家级技术。内容涵盖了从流量指纹识别、利用Commons Collections和Shiro等高级链条,到使用ysoserial实现远程代码执行(RCE)的完整攻击流程。
查看详情

表达式语言注入攻击手册

expression-language-injection
yaklang/hack-skills
375
本手册是一份专家级的指南,涵盖了针对多种 Java 框架(如 Spring/SpEL、Struts2/OGNL、JSP/JSF/Java EL)的表达式语言注入高级利用技术。内容包括检测方法、沙箱绕过和实战 CVE 链,用于实现远程代码执行(RCE)。
查看详情

Java字符窄化绕过攻击

ghost-bits-cast-attack
yaklang/hack-skills
180
这是一种针对Java应用的高级载荷绕过技术。它利用了Java代码中,在将16位字符(char)转换为8位字节(byte)时,高8位数据被静默丢失的特性。攻击者可以利用这一点,使得WAF/IDS看到无害的Unicode字符,而后端服务接收和处理的却是原始的恶意ASCII字节,从而实现SQL注入、反序列化RCE等多种攻击的绕过。
查看详情

高级哈希碰撞与密码学攻击

hash-attack-techniques
yaklang/hack-skills
216
本指南是一份全面的密码学哈希攻击手册,深入介绍了如何利用哈希函数自身的缺陷。涵盖长度扩展攻击、生成相同前缀或预选前缀碰撞、以及分析HMAC时序侧信道攻击。适用于CTF竞赛和专业的安全渗透测试场景。
查看详情

GLIBC堆利用专家手册

heap-exploitation
yaklang/hack-skills
167
本手册是针对glibc堆内存漏洞的专家级利用指南。深入讲解ptmalloc2的内部机制,覆盖了UAF、双重释放、溢出等多种内存破坏原语。提供版本化的攻击流程,指导用户绕过现代安全机制,如safe-linking和挂钩移除。
查看详情

HTTP参数污染漏洞

http-parameter-pollution
yaklang/hack-skills
294
该技能深入讲解了HTTP参数污染(HPP)漏洞。当请求中出现重复参数键时,不同的网络组件(如WAF、代理或后端框架)可能采用不同的解析规则。掌握这些差异,可以利用参数污染来绕过安全限制、执行SSRF攻击,或触发业务逻辑漏洞。
查看详情

JNDI注入漏洞利用专家指南

jndi-injection
yaklang/hack-skills
482
本指南是一份全面深入的JNDI注入攻击手册。详细介绍了通过RMI和LDAP滥用JNDI查找机制的攻击手法,重点覆盖了Log4Shell(CVE-2021-44228)等关键漏洞、反序列化利用链及8u191之后的绕过技术。适用于专业的安全漏洞测试和渗透测试。
查看详情

内核漏洞利用与权限提升实战手册

kernel-exploitation
yaklang/hack-skills
120
这是一份针对Linux内核的专家级漏洞利用实战指南。内容涵盖了UAF、OOB、竞态条件等高级漏洞类型,详细讲解了如何构建利用原语、绕过KASLR、SMEP/SMAP等内核安全机制,并最终实现权限提升(如commit_creds)。适用于安全研究和CTF实战。
查看详情
上一页123...323334353637下一页
语言
简体中文
English