登录
下载

Skill UI

浏览并发现 9688+ 精选技能
全部 编程开发 人工智能 设计创意 产品商业 数据科学 市场营销 职场通用 效率工具 硬件工程 语言学习
搜索 SEC ,共找到 1642 条记录
默认排序 最新上传 最多下载

CSRF跨站请求伪造攻击手册

csrf-cross-site-request-forgery
yaklang/hack-skills
173
本手册提供了一份专业的CSRF跨站请求伪造漏洞测试指南,用于深入审计Web应用的防伪造机制。内容覆盖了识别所有状态改变的端点,包括绕过各种类型的CSRF令牌(如未验证或可预测的令牌),并深入探讨了利用SameSite属性的边界情况(如GET方法攻击)和JSON API的攻击载荷构造,适用于安全审计和渗透测试。
查看详情

DeFi攻击模式专家手册

defi-attack-patterns
yaklang/hack-skills
81
本手册提供一份关于去中心化金融(DeFi)高级漏洞利用的详尽Playbook。内容涵盖闪电贷机制、价格预言机操纵、MEV捕获策略(如夹层攻击),以及治理和智能合约的各类底层漏洞,是安全审计和风险评估的必备工具。
查看详情

反序列化漏洞专家攻击手册

deserialization-insecure
yaklang/hack-skills
261
本手册提供了一份全面的指南,详细介绍了跨Java、PHP和Python等主流语言进行不安全反序列化漏洞攻击的专家级技术。内容涵盖了从流量指纹识别、利用Commons Collections和Shiro等高级链条,到使用ysoserial实现远程代码执行(RCE)的完整攻击流程。
查看详情

高级邮件头注入与伪造

email-header-injection
yaklang/hack-skills
85
本技能包深入讲解了邮件头注入和身份认证绕过的高级攻击手法。覆盖了SMTP协议层面的CRLF注入,用于伪造邮件头部信息(如BCC、CC)和控制邮件内容。同时,详细介绍了绕过SPF、DKIM和DMARC等主流邮件安全协议的策略与技术,适用于安全渗透测试。
查看详情

文件访问与上传漏洞路由

file-access-vuln
yaklang/hack-skills
248
这是一个用于系统性测试文件访问、下载端点和文件上传流程的路由指南。适用于验证文件路径、检测本地文件包含(LFI),或分析文件预览、存储和提取流程中的漏洞。可帮助确定漏洞是路径遍历问题还是数据处理链问题。
查看详情

Java字符窄化绕过攻击

ghost-bits-cast-attack
yaklang/hack-skills
180
这是一种针对Java应用的高级载荷绕过技术。它利用了Java代码中,在将16位字符(char)转换为8位字节(byte)时,高8位数据被静默丢失的特性。攻击者可以利用这一点,使得WAF/IDS看到无害的Unicode字符,而后端服务接收和处理的却是原始的恶意ASCII字节,从而实现SQL注入、反序列化RCE等多种攻击的绕过。
查看详情

GraphQL与隐藏参数测试

graphql-and-hidden-parameters
yaklang/hack-skills
361
一套全面的API安全渗透测试指南,专注于GraphQL和REST API。它指导用户进行模式内省、发现隐藏或未公开的字段,分析批处理功能,并识别授权漏洞(如IDOR)。适用于深度侦察和挖掘越权漏洞。
查看详情

结构化网页与API安全测试

hack
yaklang/hack-skills
80
这是一个全面的、高阶的Web和API安全评估指南,专用于授权的漏洞挖掘和渗透测试。它引导用户采用系统化的方法论,涵盖了整个攻击链的各个阶段,从侦察、漏洞分类(如XSS、SQLi、IDOR等)到复杂的业务逻辑缺陷识别,确保安全测试的系统性和深度。
查看详情

主机头注入与路由滥用攻击

http-host-header-attacks
yaklang/hack-skills
271
本指南深入介绍了利用HTTP主机头(Host Header)进行各种攻击的原理和手法。攻击者可以通过伪造或操纵该头部,实现密码重置链接劫持、Web缓存污染、SSRF攻击和虚拟主机绕过等核心漏洞,是网络安全测试的必备知识。
查看详情

HTTP参数污染漏洞

http-parameter-pollution
yaklang/hack-skills
294
该技能深入讲解了HTTP参数污染(HPP)漏洞。当请求中出现重复参数键时,不同的网络组件(如WAF、代理或后端框架)可能采用不同的解析规则。掌握这些差异,可以利用参数污染来绕过安全限制、执行SSRF攻击,或触发业务逻辑漏洞。
查看详情

HTTP/2协议高级攻击手册

http2-specific-attacks
yaklang/hack-skills
128
本手册深入探讨了HTTP/2协议的复杂攻击面。内容涵盖了h2c协议的隧道绕过、伪头部注入、HPACK压缩漏洞利用(如CRIME/BREACH)以及流多路复用的攻击技术。适用于进行专业的渗透测试和安全审计,旨在发现并利用H2服务中的底层协议缺陷。
查看详情

IDOR和对象授权绕过测试

idor-broken-object-authorization
yaklang/hack-skills
307
本手册是一份专家级的IDOR和对象授权测试手册。它指导用户系统性地测试不安全直接对象引用(IDOR)及对象/功能级别授权漏洞(BOLA/BFLA)。内容涵盖在所有请求载体中查找对象ID、A-B测试方法论、不同ID模式的识别,以及执行横向和纵向权限提升攻击,是深度API安全审计的必备知识。
查看详情
上一页123...129130131132133134135136137下一页
语言
简体中文
English