Aggregator
顧客価値、イノベーション、プラットフォームアプローチ: SentinelOneがガートナーのマジッククアドラントでリーダークアドラントに位置付けされる理由
1 year 7 months ago
SentinelOne is a Leader in the 2023 Gartner Magic Quadrant for Endpoint Protection Platforms (EPP)
The post 顧客価値、イノベーション、プラットフォームアプローチ: SentinelOneがガートナーのマジッククアドラントでリーダークアドラントに位置付けされる理由 appeared first on SentinelOne JP.
SentinelOne
Go语言项目容器化导致的Server-Side MIME Sniff
1 year 7 months ago
无在无不在
用ChatGPT来生成编码器与配套WebShell
1 year 7 months ago
2023年了,AI都会写编码器了你还不会?
几则发现Django未知漏洞的小trick
1 year 7 months ago
本文主要谈一谈如何发现Django官方没有披露的潜在漏洞以及高效查看潜在问题的代码块
【漏洞预警】Smartbi 未授权任意代码执行漏洞
1 year 7 months ago
近日, Smartbi官方发布安全更新,其中包含Smartbi 远程命令执行漏洞,未经身份认证的远程攻击者利用此漏洞向系统发送恶意数据,可能执行任意命令,导致系统被攻...
xiannv
Verisign’s Role in Securing the DNS Through Key Signing Ceremonies
1 year 8 months ago
Every few months, an important ceremony takes place. It’s not splashed all over the news, and it’s not attended by global dignitaries. It goes unnoticed by many, but its effects are felt across the globe. This ceremony helps make the internet more secure for billions of people. This unique ceremony began in 2010 when Verisign, […]
The post Verisign’s Role in Securing the DNS Through Key Signing Ceremonies appeared first on Verisign Blog.
Duane Wessels
ChatGPT Plus众筹计划
1 year 8 months ago
ChatGPT Plus
Akamai Cloud Computing Services Pricing Update
1 year 8 months ago
Shawn Michels
谁挖谁香 | 双重奖励安排上啦!
1 year 8 months ago
上一次这么大福利还是在上一次
13,000 字,聊聊软件供应链安全
1 year 8 months ago
这篇文章从市场角度深度剖析了软件供应链安全方向的现在和未来,强烈推荐阅读,感谢凯雯的分享。
【招聘】入侵对抗工程师/专家!上海or北京!
1 year 8 months ago
上海or北京 等你来!
Mybatis 从SQL注入到OGNL注入
1 year 8 months ago
动态SQL动态 SQL 是 MyBatis 的强大特性之一,一般而言,如果不使用动态SQL来拼接SQL语句,是比较痛苦的,比如拼接时要确保不能漏空格,还要注意去掉列表最后一个列名的逗号等,但是利...
panda
Introducing IP Timeline
1 year 8 months ago
The IP Timeline provides context to 60 days of data collected on an IP displayed in timechart format. Users can correlate the behavior of an IP they have seen in their data, learn what schedule an IP operates on, or gain a greater understanding of ownership and behavioral changes.
Introducing IP Similarity
1 year 8 months ago
To create IP Similarity, we have been collecting, analyzing, and labeling internet background noise, and we have come to identify patterns among scanners and background noise traffic. We want to enable anyone to quickly sniff out these groups without synthesizing large amounts of raw data to find similar behavior combinations.
The Evolving CVE Landscape
1 year 8 months ago
Plus, the 7 Weirdest CVEs (You won’t believe number 6!)
Bug Bounty Radar // The latest bug bounty programs for March 2023
1 year 8 months ago
New web targets for the discerning hacker
安全通告 - 涉及华为某音箱产品的越界写入漏洞
1 year 8 months ago
异步子域名扫描器 支持泛解析
1 year 8 months ago
前期发过一个极速子域名扫描器,但由于是同步的方式,所以速度有点不够快,且不支持泛解析判断,此次进行了大幅度的改进。
改进如下:
采用异步方式发包
支持泛解析判断(判断原理是获取全部标题,然后去重)
支持状态码200,302,403
支持http/https
泛解析大字典在扫描时表格不会实时输出,会保存到字典,然后扫描完成点击大字典处理会将存在的子域名写入到文件和列表。
扫描字典进行了改进,搜集了很多知名工具的目录集合到了一起。
其余的和上一版本该有的功能都有。
程序支持http/https,支持响应码为200,302,403
程序采用异步发包的方式,所以速度比同步发包要快一些毕竟不阻塞。
程序原理比较简单,利用字典爆破子域名,没有别的方式。所以爆破的结果取决于字典的质量。内置的字典是法师的字典和k8的字典以及GitHub的一些字典。
与其他扫描器不同之处是有个标题获取功能,这样似乎更方便,省的手动每个打开,可以有效的确定是不是目标系统。
看了很多子域名的扫描工具,大大小小都有一些对泛解析的判断,而大多数判断方式是1、先获取一个肯定不存在的子域名,并解析其获取其ip,记为ip-A。然后爆破获取到的域名均进行解析获取ip,记为ip-B,与ip-A进行对比,不一致则可判定为真实存在的子域名。2、比对响应TTL值,比对过程同上,不一致则为真实存在的子域名。
归根到底是判断差异性从而获取存在的子域名。
我试验了几个支持泛解析的工具(判断原理上述),但效果并不理想。
所以干脆自己写了一个。
我的判断原理是,获取每个标题,然后字典跑完以后根据标题去重获取存在的子域名。(毕竟不可能每个网站标题都一样)
默认是没有开启泛解析的,爆破泛解析的域名可以用小字典或大字典。
小字典模式(会实时输出到列表,然后字典跑完以后点击泛解析处理(小字典)),就会自动去重,然后可以点击泛解析格式导出,当然也可以不导出。
大字典模式(不会实时输出到列表,因为数量太大。会自动保存到集合,然后结束以后点击泛解析处理(大字典),会将去重后的结果显示到列表并且在相应目录生成结果文件。
优先建议使用小字典模式,因为小字典的质量还是不错的。
最后说明:没有什么技术含量,只是觉得这个泛解析判断方式比较好而且也没有见到同款判断原理的工具。大佬也可以根据这个原理改进出更为强大的工具。
本程序没有直接或间接能对计算机系统实施侵入和控制的功能,挖掘子域名也要在授权的情况下使用。如在未授权的情况下使用本工具挖掘到的子域名进行的一系列违规操作,本人不直接或间接承担连带责任。
下载链接:
链接:百度网盘 请输入提取码
提取码:2ge5
1 个帖子 - 1 位参与者
剑心
Indian transport ministry flaws potentially allowed creation of counterfeit driving licenses
1 year 8 months ago
Armed with personal data fragments, a researcher could also access 185 million citizens’ PII