登录
下载

Skill UI

浏览并发现 9688+ 精选技能
全部 编程开发 人工智能 设计创意 产品商业 数据科学 市场营销 职场通用 效率工具 硬件工程 语言学习
6075 个技能
默认排序 最新上传 最多下载

业务逻辑漏洞分析与测试

business-logic-vuln
yaklang/hack-skills
77
本指南用于定位业务流程和状态机中的系统性漏洞。它着重于工作流滥用、竞态条件、价格操纵或多步骤状态攻击等问题,而非简单的参数输入校验。适用于测试支付、库存、审批等复杂的业务场景。
查看详情

业务逻辑漏洞专家手册

business-logic-vulnerabilities
yaklang/hack-skills
495
本手册是高级安全漏洞测试指南,专门用于发现自动化扫描器无法检测到的业务逻辑缺陷。涵盖了竞态条件、工作流绕过、状态机攻击、价格/数量篡改、优惠券滥用等复杂场景,适用于进行深度手动渗透测试。
查看详情

卡片电脑微机应用开发与管理

cardputer-buddy
anthropics/claude-plugins-official
347
本工具集提供了一套完整的微机开发工作流,用于在卡片电脑设备上迭代和管理MicroPython应用。它支持开发者在不重新刷写整个固件的情况下,添加新应用、推送单一修改的.py文件,并能实时监控设备的串口日志或执行一次性REPL命令,非常适合嵌入式系统的快速原型开发和调试。
查看详情

古典密码分析专家手册

classical-cipher-analysis
yaklang/hack-skills
458
这是一本专业的古典密码分析手册,用于解决CTF挑战中的加密文本。它系统介绍了密码的识别和破解方法,包括频率分析、卡西斯基检验和相似性指数(IC),能够破解单字母替换、多字母替换、转置密码以及各种编码格式(如Base64、Hex、摩尔码)。
查看详情

点击劫持攻击手册

clickjacking
yaklang/hack-skills
181
本手册是关于点击劫持(Clickjacking)漏洞的专业攻击指南。它指导用户如何测试目标页面是否可被嵌入框架,并如何绕过X-Frame-Options和CSP等安全策略,通过透明的内嵌框架触发用户的意外点击行为。内容涵盖单点点击、多步骤操作和数据拖拽等高风险利用场景,适用于账户删除、权限修改等敏感功能点的安全测试。
查看详情

操作系统命令注入攻击手册

cmdi-command-injection
yaklang/hack-skills
145
这是一份关于操作系统命令注入漏洞的专家级手册。内容涵盖了所有Shell元字符、盲注、基于时间的检测方法、以及跨语言(如PHP, Python, Node.js)的常见可利用代码模式,是安全分析师和渗透测试人员的必备参考资料。
查看详情

代码混淆与反混淆专家手册

code-obfuscation-deobfuscation
yaklang/hack-skills
226
本手册提供了识别、分类和破解原生二进制文件中高级代码混淆技术的专家级方法论。内容涵盖了垃圾代码、不透明谓词、自修改代码、控制流平坦化、虚拟机保护器及字符串加密等,指导用户使用符号执行和动态仿真进行反混淆。
查看详情

CORS跨域配置错误检测

cors-cross-origin-misconfiguration
yaklang/hack-skills
462
本技能包提供系统性的跨域资源共享(CORS)配置错误测试指南。重点关注反射源、通配符信任滥用、凭证跨域读取及源允许列表绕过等关键漏洞。适用于分析浏览器访问受保护认证API的安全性。
查看详情

进阶内容安全策略绕过

csp-bypass-advanced
yaklang/hack-skills
384
本指南详细介绍了绕过内容安全策略(CSP)的进阶技术和攻击向量。内容涵盖了对关键指令(如base-uri、object-src)的漏洞利用、Nonce滥用、利用信任CDN资源点,以及在严格CSP规则下执行代码的方法,适用于深度安全审计和渗透测试。
查看详情

CSRF跨站请求伪造攻击手册

csrf-cross-site-request-forgery
yaklang/hack-skills
173
本手册提供了一份专业的CSRF跨站请求伪造漏洞测试指南,用于深入审计Web应用的防伪造机制。内容覆盖了识别所有状态改变的端点,包括绕过各种类型的CSRF令牌(如未验证或可预测的令牌),并深入探讨了利用SameSite属性的边界情况(如GET方法攻击)和JSON API的攻击载荷构造,适用于安全审计和渗透测试。
查看详情

CSV/电子表格公式注入测试

csv-formula-injection
yaklang/hack-skills
224
本技能详细介绍了在CSV、Excel、LibreOffice和Google Sheets环境中利用公式注入漏洞的进阶技术。它涵盖了DDE调用、数据混淆方法以及高风险的IMPORT*函数。当用户控制的数据被导出或导入到电子表格软件时,这些技术可被触发,主要用于数据管道和导出功能的渗透测试。
查看详情

无JS的标记残留数据窃取

dangling-markup-injection
yaklang/hack-skills
467
当跨站脚本攻击(XSS)因CSP、内容安全策略或WAF等限制而无法执行JavaScript时,该技术仍可发挥作用。它通过注入未闭合的HTML标签(如<img>、<link>等),强制浏览器将页面后续的敏感数据(如CSRF令牌、会话ID、预填表单数据)捕获到请求的URL参数中,从而实现数据窃取。
查看详情
上一页123...489490491492493494495...505506507下一页
语言
简体中文
English