WEB安全 - FreeBuf互联网安全新媒体平台

如何使用XSpear完成XSS扫描与参数分析: Alpha_h4ck 2020-01-18; XSpear是一款功能强大的XSS扫描与参数分析工具，该工具基于Ruby开发，广大研究人员可以将XSpear作为一款XSS扫描工具来使用，并保证目标应用的安全。

WEB安全已有 14491 人围观，发现 3 个不明物体

开源WAF的建设架构说明与应急预案: 煜阳yuyang 2020-01-16; 之前有在体系建设中写到开源WAF的利用，本次就继续这个话题给出使用手册+应急预案来做生产级开源WAF的支撑。

WEB安全已有 28014 人围观，发现 2 个不明物体

Go语言代码安全审计分享: 随便看看 2020-01-16; 由于Go语言代码审计资料较少，这里就把最近学习的对Vulnerability-goapp项目的审计过程分享一下。

WEB安全已有 53973 人围观，发现 10 个不明物体

渗透技巧之Powershell实战思路: CSeroad 2020-01-15; 早就听闻powershell是一个功能强大的shell，如同linux的bash，并且支持.NET，全凭命令操作windows服务。现被更广泛用于渗透攻击等方面，在不需要写入磁盘的情况下执行命令，也可以逃避Anti-Virus检测。

WEB安全已有 59941 人围观，发现 10 个不明物体

Tishna：一款功能强大的自动化Web应用渗透测试框架: Alpha_h4ck 2020-01-14; Tishna是一款功能强大的自动化Web应用渗透测试框架，广大Web安全研究人员可使用该工具来对Web服务器以及应用程序层来进行安全分析。

WEB安全已有 48515 人围观，发现 6 个不明物体

CSRF攻击防御原理: 糖果L5Q 2020-01-14; 因为现代浏览器的工作机制原因，造成一种WEB攻击形态的存在，这种攻击形式叫做CSRF攻击，以往我们是从攻击角度分析这种攻击的原理和操作。

WEB安全已有 134003 人围观，发现 11 个不明物体

机器学习之恶意流量检测的特征工程: 邹先生007 2020-01-14; 传统的机器学习除了使用Tfidf-ngram的方式外还有其他做特征工程方式，还可以通过定义不同维度的特征来做特征工程，这种特征工程方式需要安全工程师对每一种攻击有良好特征提取能力。

WEB安全已有 37007 人围观，发现 4 个不明物体

Hessian反序列化RCE漏洞复现及分析: 21superman 2020-01-14; Hessian是一个轻量级的RPC框架。它基于HTTP协议传输，使用Hessian二进制序列化，对于数据包比较大的情况比较友好。

WEB安全漏洞已有 28765 人围观，发现 2 个不明物体

Python代码审计实战案例总结之CRLF和任意文件读取: 米怀特 2020-01-09; 目前Python代码审计思路，呈现分散和多样的趋势。Python微薄研发经验以及结合实际遇到的思路和技巧进行总结，以便于朋友们的学习和参考。

WEB安全漏洞已有 56049 人围观，发现 9 个不明物体

挖洞经验 | 在账户注册和意见反馈处发现越权漏洞（IDOR): clouds 2020-01-08; 今天分享几点关于越权漏洞（IDOR）的发现经验，这类型漏洞通常发生在Web应用提供给用户基于输入的对象中，漏洞造成的影响将会致使攻击者可以绕过授权限制，访问到目标系统内其它不应该被访问到的资源或数据。

WEB安全漏洞已有 47060 人围观，发现 4 个不明物体

挖洞经验 | 用空字节（Null Byte）触发内存泄露的4万美金漏洞: clouds 2020-01-07; 作为前言，当我在7月底发现本文中的漏洞时，我还不知道有“空字节溢出”这种类型的安全问题。我仅只是对一个标准Web应用的用户输入点进行了Fuzzing测试，就发现了这么一个有意思的漏洞。