小草窝博客

2020-7-28阅读(2007)评论(0)

这是将pocsuite3发布到debian源中的记录文档。官方的参考文档在 https://mentors.debian.net/intro-maintainers/ 官方文档部分过程比较简略，这里记录详细过程。 1. 新建ITP请求 想将自己的工具打包上传到debian的第一步，是通过reportbug来报告自己的...

2020-7-20阅读(3324)评论(4)

上一周给安全信息流增加了用户系统，并顺便畅想了一下未来要做的。畅想了很多功能，但时间有限，只能在业余时间抽空写一点，这个周末增加了节点订阅功能。 之前大家已经注册了账户，现在节点订阅的功能以及个人中心已经可用了！登陆用户后进入设置会看到如下图所示 其中个人订阅主页便是自己订阅的地址。直接点击会看到如下 还是空的。 需要进入“节点订阅”栏目，勾...

2020-7-12阅读(2777)评论(1)

今年五一的时候终于将这个想法做成了一个网站。 有关网络安全的资讯获取渠道很多，论坛，新闻，微博，推特，rss订阅大牛的博客，各种技术paper平台，有时候也想关注一下cve和cnvd自己感兴趣的内容，每天可能要从不同的网站获取这些信息。 久而久之可能会产生信息焦虑，一天啥都没有做，就刷这些网站了。hacking8整合了这些资讯，只用访问i.hacki...

2020-7-3阅读(131264)评论(0)

基于 https://github.com/TideSec/TideFinger/blob/master/cms_finger.db cms指纹库中的fofa指纹。 可以看到识别规则会包含一些逻辑运算符，原作者只使用了正则来粗略的处理，感觉误报会很多，于是我用“后缀表达式”的方法来识别这些运算符，感觉算是可以完美处理这些规则...

2020-6-6阅读(5094)评论(2)

渗透测试百分之90的时间在信息收集 自动化刷src的程序慢慢的多了起来，但是寻找目标可能会花费大量时间。每个人都自己进行一次信息收集，有点重复了。 目前也没有一个网站来收集这些信息，所以，hacking8安全信息流新增了一个src资产收集的导航程序，收集了HackerOne,BugCrowd等SRC的资产，来帮助白帽子们节省时间～ ...

2020-5-5阅读(3092)评论(9)

受困于每天刷很多网站浪费时间，于是五一花了几天时间将自己每天刷的信息做成了一个网站，每日推送信息，有安全类，有娱乐类，用了几天感觉还不错，再也不用一个个网站的打开了。 理想是作为干净的信息流推送工具，偏向安全圈的点点滴滴，为安全研究人员每日发现优质内容。 最近新加入了微博和twitter的爬虫，我关注的twitter和微博的大牛发言也能在网站上显示了。 ...

2020-4-23阅读(3011)评论(3)

为了增加一点趣味～ 给w13scan的启动logo加了些好玩的东西,和metasploit一样，内置有很多字符动物logo，还设计了一个算法，给这些动物随机上色～ 所以每次启动的画面都不会一样的哦！ 网页报告w13scan支持了实时生成网页报告，前端修改自xray开源的report部分，花了好多时间修改前端样式，终于改得面目全非，但...

2020-4-12阅读(3274)评论(2)

两周前畅想了w13scan今年要进行的更新，突然发现github上w13scan的star数量越来越多，尽早更新的心情也愈加强烈。这篇日志记录一下这两周在空闲时间进行的一些修改。 内置反连平台w13scan内置了自己的反连平台，支持http,dns,Java RMI三种类型的反连，反连平台实现很简单，都是用纯python编写，没有用到第三方库，减少一些依赖...

2020-2-11阅读(3983)评论(4)

为了实现自动刷SRC的目标，过年前就开始对w13scan的xss扫描功能进行优化，灵感来源于xray所宣称的基于语义的扫描技术。 之前xss扫描是参考w3af中的源码，原理也很简单就是暴力的使用xss的payload进行请求，最后在返回文本中查找关键字。xss payload一般有以下几个部分。 后面我认真的学习了...

2019-11-18阅读(2934)评论(0)

QL是一种查询语言，支持对C++，C#，java，JavaScript，python，go等多种语言进行分析，可用于分析代码，查找代码中控制流等信息。 之前笔者有简单的研究通过JavaScript语义分析来查找XSS，所以对于这款引擎有浓厚的研究兴趣 。 安装 下载分析程序：https://github.com/github/codeql-cli-bi...