当大模型拿起键盘:AI渗透测试实战技巧
点击蓝字 关注我们Preface前言从ChatGPT时期,笔者就在思考大模型可以在安全方面带来什么样的变化,如今各家厂商也都推出了AI赋能安全的产品,在防守测,有AI安全运营、AI异常流量监测研判、A
阅读全文又新又"夯"的小程序测试工具
字数 481,阅读大约需 3 分钟前言一个基于 WMPFDebugger 二开的,非常好用的小程序多功能集成工具。91f82b46ebca2b125d38aa0b0b80ce67.png发布不到一天
阅读全文AntiDebug + 脚本实现自动测试Vue路由未授权
字数 622,阅读大约需 4 分钟前言前几天,有一位师傅看了用小程序跳转工具测未授权和越权思路问我,浏览器中的 Vue 也能用吗?我当时的回答是不行。今天做渗透测试的时候,又想起来这个问题。真的不行
阅读全文同事.skill 前任.skill 自己.skill
字数 15,阅读大约需 1 分钟同事.skillhttps://github.com/titanwings/colleague-skill前任.skillhttps://github.com/tit
阅读全文给AI Agent配置JS逆向MCP
字数 221,阅读大约需 2 分钟前言JS 逆向 MCP + skills/提示词。依旧是在 TRAE CN 中配置,下面是我最近做猿人学 JS 逆向题目时候的配置。chromechrome 启动远
阅读全文生成dirsearch命令的skills
已加入项目中https://github.com/boqiqibo/Sec-Skills 获取网站特征后,给出需求+字典地址/dirsearch-command-generator 网站是用XX语言写
阅读全文JS逆向学习 | 02 js 混淆 - 动态cookie 1
字数 614,阅读大约需 4 分钟前言js 混淆 - 动态 cookie 1https://match.yuanrenxue.cn/match/2题目的关键代码使用了 obfuscator 混淆,并
阅读全文反编译小程序,补环境可在开发者工具运行
字数 586,阅读大约需 3 分钟前言以前关于小程序就有补环境的说法,我在最初测试的时候也补过,看过教程,但是没补明白。最后出现 F12 console 调试大法,补环境就不了了之了。最近,在看文章
阅读全文JS逆向学习 | 01 js 混淆 源码乱码
字数 947,阅读大约需 5 分钟前言最近很多用Codex + mcp逆向JS的文章。我个人而言,JS端逆向没有安卓端熟练,正好利用大模型把这一块补上。本文是我的解题思路。我个人用的模型还是以免费居
阅读全文把小程序当Web测 || 实战案例深度拆解路由跳转中的权限漏洞挖掘
挺久没发文章了,看最近大家对小程序讨论的挺多的,也来凑凑热闹,以下内容纯个人愚见,如有不同想法,欢迎各位师傅交流讨论1引言在微信小程序生态中,路由跳转逻辑高度依赖 URL 路由 + Query 参数
阅读全文用小程序跳转工具测未授权和越权思路
字数 611,阅读大约需 4 分钟前言我的朋友最近在用大模型写小程序,但作为白嫖用户的他,把免费的额度用完了,于是就把心思打到了我的头上,让我帮他跑。我看着小程序里的跳转链接,想到了之前聊过的小程序
阅读全文项目推荐 | 专注于PHP代码审计的Skill
字数 564,阅读大约需 3 分钟前言项目地址:https://github.com/0xShe/PHP-Code-Audit-SkillPHP-Code-Audit-Skill 是一套面向 PHP
阅读全文供应链预警|LiteLLM、Apifox两起供应链投毒事件,请尽快应急
01安全预警🚨LiteLLM供应链投毒 — 风险排查风险说明受影响版本:litellm version = 1.82.7, 1.82.8恶意文件:litellm_init.pth危害行为:Python
阅读全文通过 AI-Skill 分析 flutter so 文件实现明文抓包以及生成frida脚本
字数 998,阅读大约需 5 分钟前言看了猿人学大佬的文章,使⽤ AI 实现 最新版本 Flutter HTTPS 明⽂抓包https://mp.weixin.qq.com/s/Z6oinmOXl5
阅读全文四款文件上传绕过工具
字数 395,阅读大约需 2 分钟Upload_Auto_Fuzz项目地址:https://github.com/T3nk0/Upload_Auto_Fuzz6185a39dc5e322864463
阅读全文一次基于Struts框架项目的代码审计
字数 1368,阅读大约需 7 分钟前言上周去客户那里做了一个渗透测试+代码审计,黑盒+白盒的项目。客户给的环境是纯内网,源码不允许出网,久违的体验了一把古法代码审计。一直引以为豪的奥特手环——AI
阅读全文工具推荐|自动化收集js,自动化加载js,自动化分析js
字数 194,阅读大约需 1 分钟项目介绍Webpack_extract-自动化收集js,自动化加载js,自动化分析js项目地址:https://github.com/xz-zone/Webpack
阅读全文一次隐藏页面泄露导致的未授权
字数 471,阅读大约需 3 分钟测试流程近期做的一个渗透测试项目,客户只提供的资产里仅包含域名,让我们自己信息收集做测试。其中有一个 Tomcat 搭建的网站,直接访问 http://demo.c
阅读全文MCP Server 测试
点击蓝字 关注我们一什么是MCPMCP(Model Context Protocol,模型上下文协议)是一套开放的标准协议,用来让大模型应用(Host,如 Claude Desktop、IDE 插件等
阅读全文通过java-audit-skills分析Java靶场
字数 618,阅读大约需 4 分钟前言前言安装使用 Skill 分析项目有师傅私信问我,大模型应用在安全领域上的 Skill 怎么学。我个人觉得还是先用起来。总有人跑得比我们快,以前用别人的脚本当脚
阅读全文如何从0写一个FOFA语法生成的skill
字数 1010,阅读大约需 6 分钟前言前言什么时候需要用到大模型如何写好一个 skill使用过程中遇到的问题使用 skillSkill什么时候需要用到大模型最近的趋势好像是什么都交给大模型来解决,
阅读全文利用skill解决CTF的逆向题
字数 433,阅读大约需 3 分钟前言项目地址:https://github.com/ljagiello/ctf-skills用于解决 CTF 竞赛挑战的智能体技能——Web 漏洞利用、二进制漏洞利
阅读全文吾爱破解论坛精华集2025
导语今年的《吾爱破解精华集》论坛收到了来自135位同学发布的共计217篇 优秀、精华帖(精华帖111篇)。同学们的每一篇优秀文章都是宝贵的财富,请允许我以吾爱破解论坛站务组的名誉对向你们表示真诚的感谢
阅读全文专注于java代码审计skills
字数 624,阅读大约需 4 分钟前言项目地址:https://github.com/RuoJi6/java-audit-skills559236ee61fef0910122633d794b3e94
阅读全文为什么你挖不到漏洞?从“无效努力”到“高效出洞”的思维跃迁
同一个SRC,有人月入过万,有人连续三月空手而归——差的不只是技术,是思路。最近收到不少师傅私信:“常规漏洞原理我都懂,工具也会用,为什么就是挖不到洞?”这个问题,我曾经也问过自己无数次。直到后来复盘
阅读全文BurpSuite快速过滤与丢弃数据包
字数 276,阅读大约需 2 分钟前言测项目的时候,抓包可能会遇到重复无用的大量数据包,一秒几个的在history中闪过。不仅看的难受,也不方便测试人员测试。下面说几个常见的解决办法。前言感悟环境搭
阅读全文vibe编程,用 AI 写了个小程序
字数 731,阅读大约需 4 分钟前言虽然是为了安全测试才注册的小程序,但流程要走就走完。于是乎,就在昨天,我的小程序赛博吗喽知识库通过认证,成功发布了。首页 /index是不是很有 AI 的风格,
阅读全文小程序 wx.cloud 操作文档型数据库的漏洞挖掘点
字数 474,阅读大约需 3 分钟前言对上一篇文章的补充 原创 | 小程序中云函数越权的探索。今天来说 cloudbase 中的文档型数据库的权限问题。前言文档型数据库权限说明文档型数据库操作演示小
阅读全文关于 openclaw
字数 229,阅读大约需 2 分钟前言老实说,虽然openclaw刚开始出,还在叫Clawdbot的时候就很火。但没想到能火到这种程度,我的领导在聊,同事在聊,平时水的QQ群和微信群都在说。2月1日
阅读全文