下载

Skill UI

浏览并发现 9785+ 精选技能

全部编程开发人工智能设计创意产品商业数据科学市场营销职场通用效率工具硬件工程语言学习

搜索利用，共找到 814 条记录

默认排序最新上传最多下载

容器逃逸高级攻击手册

container-escape-techniques

yaklang/hack-skills

本手册提供一套全面的容器逃逸技术指南，涵盖了从底层系统到应用层的专家级攻击方法。详细介绍了利用特权模式、滥用cgroup、操纵命名空间以及利用Docker和Kubernetes漏洞进行容器隔离突破的步骤，适用于高级安全研究和渗透测试。

CRLF注入：高级攻击手册

yaklang/hack-skills

本手册详细介绍了CRLF（回车换行）注入的高级攻击方法。它利用用户输入未经验证地出现在HTTP响应头（如Location、Set-Cookie）或日志记录中的漏洞。内容涵盖了响应分割、双CRLF导致的XSS升级、缓存投毒和会话固定等高级攻击场景，适用于专业的安全深度测试。

进阶内容安全策略绕过

csp-bypass-advanced

yaklang/hack-skills

本指南详细介绍了绕过内容安全策略（CSP）的进阶技术和攻击向量。内容涵盖了对关键指令（如base-uri、object-src）的漏洞利用、Nonce滥用、利用信任CDN资源点，以及在严格CSP规则下执行代码的方法，适用于深度安全审计和渗透测试。

CSRF跨站请求伪造攻击手册

csrf-cross-site-request-forgery

yaklang/hack-skills

本手册提供了一份专业的CSRF跨站请求伪造漏洞测试指南，用于深入审计Web应用的防伪造机制。内容覆盖了识别所有状态改变的端点，包括绕过各种类型的CSRF令牌（如未验证或可预测的令牌），并深入探讨了利用SameSite属性的边界情况（如GET方法攻击）和JSON API的攻击载荷构造，适用于安全审计和渗透测试。

CSV/电子表格公式注入测试

csv-formula-injection

yaklang/hack-skills

本技能详细介绍了在CSV、Excel、LibreOffice和Google Sheets环境中利用公式注入漏洞的进阶技术。它涵盖了DDE调用、数据混淆方法以及高风险的IMPORT*函数。当用户控制的数据被导出或导入到电子表格软件时，这些技术可被触发，主要用于数据管道和导出功能的渗透测试。

DeFi攻击模式专家手册

defi-attack-patterns

yaklang/hack-skills

本手册提供一份关于去中心化金融（DeFi）高级漏洞利用的详尽Playbook。内容涵盖闪电贷机制、价格预言机操纵、MEV捕获策略（如夹层攻击），以及治理和智能合约的各类底层漏洞，是安全审计和风险评估的必备工具。

依赖混淆供应链攻击手册

dependency-confusion

yaklang/hack-skills

本指南提供一套完整的依赖混淆攻击（Dependency Confusion）实战手册。它详细介绍了攻击原理，即组织内部私有包名在公共仓库的泄露和利用，从而进行授权的供应链安全测试和红队演练。适用于安全工程师和开发人员。

反序列化漏洞专家攻击手册

deserialization-insecure

yaklang/hack-skills

本手册提供了一份全面的指南，详细介绍了跨Java、PHP和Python等主流语言进行不安全反序列化漏洞攻击的专家级技术。内容涵盖了从流量指纹识别、利用Commons Collections和Shiro等高级链条，到使用ysoserial实现远程代码执行（RCE）的完整攻击流程。

DNS重绑定攻击（客户端）

dns-rebinding-attacks

yaklang/hack-skills

该手册详细介绍了DNS重绑定技术的专家级利用方法。它用于渗透测试中，旨在绕过同源策略（SOP）。通过攻击目标客户端的DNS解析机制，攻击者可以诱使浏览器向内部、非公开的网络服务（如云元数据服务）发送请求，同时欺骗客户端认为请求源自一个可信的域名。

表达式语言注入攻击手册

expression-language-injection

yaklang/hack-skills

本手册是一份专家级的指南，涵盖了针对多种 Java 框架（如 Spring/SpEL、Struts2/OGNL、JSP/JSF/Java EL）的表达式语言注入高级利用技术。内容包括检测方法、沙箱绕过和实战 CVE 链，用于实现远程代码执行（RCE）。

格式字符串漏洞利用专家指南

format-string-exploitation

yaklang/hack-skills

本指南是针对格式字符串漏洞的专家级利用手册。它详细介绍了如何利用用户控制的格式化函数（如printf）实现任意内存读取（如栈、GOT）和任意内存写入（如%n）。主要用于二进制漏洞分析和CTF挑战中，达到代码执行的目的。

Java字符窄化绕过攻击

ghost-bits-cast-attack

yaklang/hack-skills

这是一种针对Java应用的高级载荷绕过技术。它利用了Java代码中，在将16位字符（char）转换为8位字节（byte）时，高8位数据被静默丢失的特性。攻击者可以利用这一点，使得WAF/IDS看到无害的Unicode字符，而后端服务接收和处理的却是原始的恶意ASCII字节，从而实现SQL注入、反序列化RCE等多种攻击的绕过。

上一页 1 2 3...61 62 636465 66 67 68 下一页

语言