下载

Skill UI

浏览并发现 9944+ 精选技能

全部编程开发人工智能设计创意产品商业数据科学市场营销职场通用效率工具硬件工程语言学习

搜索漏洞，共找到 336 条记录

默认排序最新上传最多下载

进阶内容安全策略绕过

csp-bypass-advanced

yaklang/hack-skills

本指南详细介绍了绕过内容安全策略（CSP）的进阶技术和攻击向量。内容涵盖了对关键指令（如base-uri、object-src）的漏洞利用、Nonce滥用、利用信任CDN资源点，以及在严格CSP规则下执行代码的方法，适用于深度安全审计和渗透测试。

CSRF跨站请求伪造攻击手册

csrf-cross-site-request-forgery

yaklang/hack-skills

本手册提供了一份专业的CSRF跨站请求伪造漏洞测试指南，用于深入审计Web应用的防伪造机制。内容覆盖了识别所有状态改变的端点，包括绕过各种类型的CSRF令牌（如未验证或可预测的令牌），并深入探讨了利用SameSite属性的边界情况（如GET方法攻击）和JSON API的攻击载荷构造，适用于安全审计和渗透测试。

CSV/电子表格公式注入测试

csv-formula-injection

yaklang/hack-skills

本技能详细介绍了在CSV、Excel、LibreOffice和Google Sheets环境中利用公式注入漏洞的进阶技术。它涵盖了DDE调用、数据混淆方法以及高风险的IMPORT*函数。当用户控制的数据被导出或导入到电子表格软件时，这些技术可被触发，主要用于数据管道和导出功能的渗透测试。

DeFi攻击模式专家手册

defi-attack-patterns

yaklang/hack-skills

本手册提供一份关于去中心化金融（DeFi）高级漏洞利用的详尽Playbook。内容涵盖闪电贷机制、价格预言机操纵、MEV捕获策略（如夹层攻击），以及治理和智能合约的各类底层漏洞，是安全审计和风险评估的必备工具。

反序列化漏洞专家攻击手册

deserialization-insecure

yaklang/hack-skills

本手册提供了一份全面的指南，详细介绍了跨Java、PHP和Python等主流语言进行不安全反序列化漏洞攻击的专家级技术。内容涵盖了从流量指纹识别、利用Commons Collections和Shiro等高级链条，到使用ysoserial实现远程代码执行（RCE）的完整攻击流程。

文件访问与上传漏洞路由

file-access-vuln

yaklang/hack-skills

这是一个用于系统性测试文件访问、下载端点和文件上传流程的路由指南。适用于验证文件路径、检测本地文件包含（LFI），或分析文件预览、存储和提取流程中的漏洞。可帮助确定漏洞是路径遍历问题还是数据处理链问题。

GraphQL与隐藏参数测试

graphql-and-hidden-parameters

yaklang/hack-skills

一套全面的API安全渗透测试指南，专注于GraphQL和REST API。它指导用户进行模式内省、发现隐藏或未公开的字段，分析批处理功能，并识别授权漏洞（如IDOR）。适用于深度侦察和挖掘越权漏洞。

GLIBC堆利用专家手册

heap-exploitation

yaklang/hack-skills

本手册是针对glibc堆内存漏洞的专家级利用指南。深入讲解ptmalloc2的内部机制，覆盖了UAF、双重释放、溢出等多种内存破坏原语。提供版本化的攻击流程，指导用户绕过现代安全机制，如safe-linking和挂钩移除。

HTTP参数污染漏洞

http-parameter-pollution

yaklang/hack-skills

该技能深入讲解了HTTP参数污染（HPP）漏洞。当请求中出现重复参数键时，不同的网络组件（如WAF、代理或后端框架）可能采用不同的解析规则。掌握这些差异，可以利用参数污染来绕过安全限制、执行SSRF攻击，或触发业务逻辑漏洞。

IDOR和对象授权绕过测试

idor-broken-object-authorization

yaklang/hack-skills

本手册是一份专家级的IDOR和对象授权测试手册。它指导用户系统性地测试不安全直接对象引用（IDOR）及对象/功能级别授权漏洞（BOLA/BFLA）。内容涵盖在所有请求载体中查找对象ID、A-B测试方法论、不同ID模式的识别，以及执行横向和纵向权限提升攻击，是深度API安全审计的必备知识。

注入漏洞测试路由器

injection-checking

yaklang/hack-skills

本技能是全面的注入漏洞测试入口点。当输入数据流向多个危险解析器或执行环境时（如HTML、JS、SQL、XML等），可以使用本路由器来确定最合适的注入类型。它帮助用户根据输入流向，判断是哪种类型的漏洞（如XSS、SQLi、XXE等），从而快速指导后续的测试和分析。

JNDI注入漏洞利用专家指南

yaklang/hack-skills

本指南是一份全面深入的JNDI注入攻击手册。详细介绍了通过RMI和LDAP滥用JNDI查找机制的攻击手法，重点覆盖了Log4Shell（CVE-2021-44228）等关键漏洞、反序列化利用链及8u191之后的绕过技术。适用于专业的安全漏洞测试和渗透测试。

上一页 1 2 3...23 24 252627 28 下一页

语言