unSafe.sh - 不安全
我的收藏
今日热榜
公众号文章
导航
Github CVE
Github Tools
编码/解码
文件传输
Twitter Bot
Telegram Bot
Search
Rss
黑夜模式
How to detect React2Shell with Burp Suite
嗯,用户让我帮忙总结一篇文章的内容,控制在一百个字以内。首先,我需要仔细阅读这篇文章,了解主要内容。 文章主要讲的是React2Shell漏洞在Next.js应用中的检测方法,使用Burp Suite Professional和DAST版本。还提到了如何安装ActiveScan++扩展和Bambda自定义扫描检查。此外,文章还提到React2Shell的严重性,CVSS评分10.0,影响广泛。 接下来,我需要将这些要点浓缩到100字以内。要确保涵盖主要技术点:Burp Suite的两个版本、ActiveScan++、Bambda、漏洞的严重性和影响范围。 可能的结构是:介绍检测工具和方法,然后提到漏洞的影响。这样既简洁又全面。 最后,检查字数是否在限制内,并确保语言流畅自然。 </think> 文章介绍了如何使用Burp Suite Professional和DAST版本检测Next.js应用中的React2Shell漏洞,并提供了安装ActiveScan++扩展和Bambda自定义扫描检查的方法。React2Shell是一种严重的远程代码执行漏洞,CVSS评分为10.0,影响广泛。...
2025-12-5 13:53:30 | 阅读: 12 |
收藏
|
PortSwigger Blog - portswigger.net
burp
react2shell
activescan
dast
bambda
PortSwigger x TryHackMe: Supporting Advent of Cyber
Hassan Ud-Deen |01 December 2025 at...
2025-12-1 09:0:0 | 阅读: 1 |
收藏
|
PortSwigger Blog - portswigger.net
burp
advent
security
burpai
theory
Hacking with Burp AI in the Chesspocalypse: API expert Corey Ball showcases how Burp AI can support pentesters.
Amelia Coen |14 November 2025 at 15...
2025-11-14 15:9:32 | 阅读: 13 |
收藏
|
PortSwigger Blog - portswigger.net
burp
corey
testers
chess
Introducing HTTP Anomaly Rank
嗯,用户让我帮忙总结一篇文章,控制在100字以内,而且不需要特定的开头。首先,我需要快速浏览文章内容,抓住主要信息。 文章讲的是HTTP Anomaly Rank算法,它被集成到Turbo Intruder和Burp Suite中。这个算法能自动排序异常响应,帮助用户快速找到有用的测试结果。看起来这对安全测试很有帮助。 用户可能是一位网络安全专家或者开发人员,他们可能在使用这些工具时遇到了手动筛选响应的问题。所以他们需要一个高效的方法来处理大量数据。 总结的时候,要突出算法的功能、集成的工具以及带来的好处。确保语言简洁明了,不超过100字。 </think> HTTP Anomaly Rank是一种算法,用于自动排序HTTP响应中的异常结果。该算法通过分析响应属性(如状态码、内容长度等)的稳定性来计算每个响应的得分,并将最异常的结果置于顶部。它已集成到Turbo Intruder和Burp Suite中,帮助用户快速发现潜在漏洞或异常情况。...
2025-11-11 14:41:53 | 阅读: 17 |
收藏
|
PortSwigger Research - portswigger.net
intruder
anomaly
turbo
burp
403
Can Burp AI hack a website? CyberMaddy explores the new agentic capabilities in Burp AI
CyberMaddy在视频中探讨了AI驱动的道德黑客领域,测试了Burp AI在Repeater中发现SQL注入、XSS和不安全配置等漏洞的能力,并展示了其在漏洞发现方面的潜力与实际效果。...
2025-10-22 13:15:24 | 阅读: 15 |
收藏
|
PortSwigger Blog - portswigger.net
burp
cybermaddy
agentic
appsec
Burp AI takes on a vulnerable web app: watch Tib3rius put Burp’s new agentic capabilities to the test
Tib3rius演示了Burp AI在测试易受攻击的Web应用时的自主能力,包括利用漏洞、标记误报及智能构造攻击。用户可通过自然语言提示实时指导AI行为。...
2025-10-22 12:59:5 | 阅读: 11 |
收藏
|
PortSwigger Blog - portswigger.net
burp
agentic
repeater
positives
coen
HTTP/1.1 must die: Dafydd Stuttard on what this means for enterprise security
文章指出HTTP/1.1存在严重安全漏洞,可能导致请求走私攻击,企业需淘汰旧协议,采用HTTP/2+并检查基础设施以防止大规模风险。...
2025-10-9 14:6:40 | 阅读: 18 |
收藏
|
PortSwigger Blog - portswigger.net
burp
desync
james
security
leaders
The future of pentesting is Human x AI, and it's already in Burp Suite Professional
AI辅助渗透测试已成为现实,70%的研究人员使用AI工具提升效率,但仅12%认为AI能完全取代人类。自动化改变测试方式,但人类创造力仍至关重要。"Hackbots"擅长基础问题检测,复杂任务仍需人工干预。人机协作是最佳策略:AI提升效率,人类负责深度分析与创新。...
2025-10-7 13:17:41 | 阅读: 12 |
收藏
|
PortSwigger Blog - portswigger.net
burp
hackerone
humans
assisted
pentesters
Hacking smarter with Burp AI: NahamSec puts Burp AI to the test
NahamSec演示了Burp AI的功能,包括分析请求、跟进扫描结果、提供上下文、生成登录序列和减少误报。所有功能按需使用,在安全环境中运行。...
2025-10-1 14:31:40 | 阅读: 10 |
收藏
|
PortSwigger Blog - portswigger.net
burp
nahamsec
logins
repeater
credits
Welcome to AI pentesting - add on-demand AI assistance directly to your workflow with new, agentic Burp AI capabilities
PortSwigger推出Burp AI工具,助力安全测试人员高效完成渗透测试任务。该工具通过自然语言提示提供实时建议、自动化重复性操作并加速漏洞分析。用户可直接在Repeater中使用Burp AI,无需切换工具或流程。...
2025-9-24 14:17:34 | 阅读: 11 |
收藏
|
PortSwigger Blog - portswigger.net
burp
security
repetitive
portswigger
injection
How to join the desync endgame: Practical tips from pentester Tom Stacey
Portswigger研究揭示HTTP/1.1固有安全缺陷,HTTP请求走私攻击仍具威胁。通过新型去同步漏洞类别攻击三大CDN,获35万美元赏金。研究强调需淘汰HTTP/1.1,呼吁渗透测试人员和赏金猎人加入"去同步游戏"。...
2025-9-18 15:51:39 | 阅读: 11 |
收藏
|
PortSwigger Blog - portswigger.net
desync
endgame
security
WebSocket Turbo Intruder: Unearthing the WebSocket Goldmine
文章介绍了WebSocket Turbo Intruder这一Burp Suite扩展工具,用于快速检测WebSocket协议中的安全漏洞如访问控制问题、竞态条件及SQL注入等,并支持自动化测试和多种高级功能如线程引擎和命令行接口。...
2025-9-17 12:40:6 | 阅读: 9 |
收藏
|
PortSwigger Research - portswigger.net
turbo
intruder
burp
outgoing
How this seasoned bug bounty hunter combines Burp Suite and HackerOne to uncover high-impact vulnerabilities
独立安全研究员Arman利用Burp Suite Professional和HackerOne合作发现高价值漏洞并赚取赏金。...
2025-9-12 12:21:38 | 阅读: 13 |
收藏
|
PortSwigger Blog - portswigger.net
burp
hackerone
arman
security
portswigger
Watch the webinar: Scale secure coverage without scaling headcount
随着应用规模扩大和发布速度加快,AppSec团队面临巨大压力。Burp Suite DAST凭借强大的扫描引擎和灵活部署能力,帮助企业在不牺牲灵活性的情况下实现高效安全测试,并与现有工具无缝集成。...
2025-9-4 14:21:0 | 阅读: 13 |
收藏
|
PortSwigger Blog - portswigger.net
burp
security
dast
workflows
appsec
Cookie Chaos: How to bypass __Host and __Secure cookie prefixes
文章探讨了浏览器和服务器在处理Cookie时的逻辑差异如何被用于绕过安全机制。通过利用Unicode空格字符或旧版解析方式,攻击者可伪装受限Cookie名称(如__Host-),使其在浏览器中被视为普通值但在服务器端被识别为受保护类型。这种差异可能导致高权限Cookie被注入或覆盖,威胁会话安全。...
2025-9-3 14:46:23 | 阅读: 14 |
收藏
|
PortSwigger Research - portswigger.net
whitespace
django
attacker
security
interpreted
The year so far: How Burp Suite DAST is leveling up enterprise security in 2025
Burp Suite DAST在2025年上半年进行了多项改进,包括自动化扫描管理、增强API测试能力、提升扫描速度和覆盖率、优化与Jira的集成以及提供灵活的部署选项,帮助企业提升安全成熟度。...
2025-8-28 12:7:45 | 阅读: 15 |
收藏
|
PortSwigger Blog - portswigger.net
dast
security
burp
onboarding
enhanced
"The entire internet is broken": ethical hacking expert John Hammond meets James Kettle
两位安全专家揭示了 HTTP/1.1 的固有漏洞,导致数千万网站易受攻击。他们展示了新的 HTTP 失步攻击,并强调转向 HTTP/2 的重要性以消除此类威胁。...
2025-8-27 09:11:17 | 阅读: 42 |
收藏
|
PortSwigger Blog - portswigger.net
james
security
upstream
desync
tens
Inline Style Exfiltration: leaking data with chained CSS conditionals
文章介绍了一种利用CSS的attr()、image-set()和if语句通过内联样式窃取属性数据的方法。该技术无需导入外部样式表即可实现跨域请求,并可用于窃取简单数据如用户ID或用户名,在Chromium浏览器中有效。...
2025-8-26 12:54:3 | 阅读: 7 |
收藏
|
PortSwigger Research - portswigger.net
portswigger
stylesheet
styles
username
slonser
Beware the false false-positive: how to distinguish HTTP pipelining from request smuggling
文章探讨了HTTP请求走私与连接复用(如keep-alive或pipelining)的区别,指出前者通常为误报但有时确实存在漏洞。作者分析了连接复用的常见场景及其对测试的影响,并提供了工具和方法来区分误报与真实漏洞。...
2025-8-19 14:30:44 | 阅读: 8 |
收藏
|
PortSwigger Research - portswigger.net
reuse
client
desync
hackxor
robots
HTTP/1.1 Must Die: What This Means for AppSec Leadership
PortSwigger研究显示HTTP/1.1协议存在根本性解析漏洞,导致"desync"攻击持续威胁全球数千万网站。攻击者可利用解析模糊实现会话劫持、缓存中毒和数据泄露。研究指出仅靠补丁无法解决问题,需全面淘汰HTTP/1.1转向更安全的HTTP/2协议。...
2025-8-6 22:23:49 | 阅读: 12 |
收藏
|
PortSwigger Blog - portswigger.net
desync
security
dast
burp
portswigger
Previous
1
2
3
4
5
6
7
8
Next
