安全测试人员的交流家园,分享经验、获取灵感、共同成长
最新
精华
产品更新日志(2026.3.12)
各位用户大家好!为优化使用体验,产品近期更新如下:3月12日 功能迭代更新1. 客户端-全局配置,支持数据包过滤全局配置,统一管控抓包过滤规则- 更新「最新大模型」,提升问答质量- 对话挖洞:支持左右分栏关联,可查看哪些数据包被AI分析- AI改写数据包:可直接同步至数据包列表中查看- 体验优化:整体UI交互合规- 问题修复:完成已知BUG修复,提升产品使用稳定性2月6日 功能迭代更新1. 客户端
03-12 阅读 5
点赞
评论
蛙池AI实战Burpsuite官方靶场之SSRF漏洞失利、路径遍历漏洞成功
一、SSRF漏洞尝试靶场如下点击Basic SSRF against the local server进入靶场靶场描述: 意思是更改url访问的内网admin接口,并且进一步删除carlos用户(SSRF漏洞)点击ACCESS THE LAB进入靶场下面让蛙池AI来帮我挖出这个漏洞下一步要求浏览页面,查找"Stock check"或"库存检查"相关的功能按钮点击该功能,触发库存检查请求操作完成后
02-28 阅读 106
点赞
评论
1
1
02-27 阅读 18
点赞
评论 1
Win应急响应
下面为笔者的思路,仅供参考1、账号排查方法1)CMDnet user (查看基本用户)net user 用户名, 查看上次登录的时间方法2)lusrmgr.msc,可排查隐藏用户方法3)注册表排查可排查影子用户(Name里面没数据,Users里面有数据的那种)2、端口排查netstat -anob 排查UID+进程3、占用排查任务管理器 ctrl+alt+del和端口排查联动,发现可疑的进程后,
02-27 阅读 35
点赞
评论 2
利用蛙池轻松突破好靶场网络安全大学
0x00 前言AI 的核心价值之一,是将重复性、有规律性的人工操作实现自动化,在网络安全测试中,大量 Fuzz 模糊测试工作可通过 AI 工具替代,大幅提升测试效率。可由 AI 替代的 Fuzz 测试场景需满足以下特征:操作流程具备重复性测试逻辑存在规律性测试规则可通过固定范式表示本次测试使用 AI 测试工具蛙池,针对 edu4 动态关卡展开实战,测试目标地址为:好靶场靶场编号 723本关卡为动
02-27 阅读 82
点赞
评论
CVE-2025-55182
React框架的Server Functions功能中存在一个严重的反序列化漏洞,攻击者可通过特制的序列化数据实现远程代码执行(RCE)。该漏洞源于React Flight Protocol在解析对象引用时未验证属性存在性,导致原型污染并最终获取Function构造函数执行任意代码。该漏洞无需身份验证,仅需单个HTTP请求即可完成攻击。1. 漏洞位置文件: node_modules/react-s
02-27 阅读 9
点赞
评论
CVE-2026-25049漏洞复现
测试对象 n8n 工作流自动化平台(开源版)测试版本 n8nio/n8n:1.123.16 (Docker)漏洞详情:CVSS评分:9.4(严重级别)影响产品:n8n工作流自动化平台漏洞类型:系统命令执行漏洞n8n 1.123.16 工作流代码沙箱可被绕过,直接访问 Node.js `process` 对象环境信息 : n8n 1.123.16 (Docker, Node.js v22.21.0)
02-27 阅读 24
点赞
评论
保姆级教程|蛙池 Burp 联动分析数据包,从配置到过滤一步到位
参考帖子:www.digpool点cn/article/64,该贴包括配置步骤和设置代理的原理,通俗易懂,本文前半段主要将配置步骤描述更加详细,后半段加入配合浏览器插件进行部分网址过滤的操作方法。数据流向:靶机—>Burpsuite—>蛙池—>浏览器插件—>浏览器页面1. 蛙池+burpsuite联合进行数据包分析1.1 配置蛙池上游代理(蛙池从Burpsuite处取得数据)1.
02-14 阅读 144
点赞 1
评论 1
邀请
各位大佬求求给个码
02-14 阅读 28
点赞
评论
跪求一个码 各位大佬
跪求一个码 各位大佬
02-13 阅读 16
点赞
评论