如何使用XSpear完成XSS扫描与参数分析
如何使用XSpear完成XSS扫描与参数分析
2020-01-18  
XSpear是一款功能强大的XSS扫描与参数分析工具,该工具基于Ruby开发,广大研究人员可以将XSpear作为一款XSS扫描工具来使用,并保证目标应用的安全。
WEB安全 已有 14491 人围观 ,发现 3 个不明物体
开源WAF的建设架构说明与应急预案
开源WAF的建设架构说明与应急预案
2020-01-16  
之前有在体系建设中写到开源WAF的利用,本次就继续这个话题给出使用手册+应急预案来做生产级开源WAF的支撑。
WEB安全 已有 28014 人围观 ,发现 2 个不明物体
Go语言代码安全审计分享
Go语言代码安全审计分享
2020-01-16  
由于Go语言代码审计资料较少,这里就把最近学习的对Vulnerability-goapp项目的审计过程分享一下。
WEB安全 已有 53973 人围观 ,发现 10 个不明物体
渗透技巧之Powershell实战思路
渗透技巧之Powershell实战思路
2020-01-15  
早就听闻powershell是一个功能强大的shell,如同linux的bash,并且支持.NET,全凭命令操作windows服务。现被更广泛用于渗透攻击等方面,在不需要写入磁盘的情况下执行命令,也可以逃避Anti-Virus检测。
WEB安全 已有 59941 人围观 ,发现 10 个不明物体
Tishna:一款功能强大的自动化Web应用渗透测试框架
Tishna:一款功能强大的自动化Web应用渗透测试框架
2020-01-14  
Tishna是一款功能强大的自动化Web应用渗透测试框架,广大Web安全研究人员可使用该工具来对Web服务器以及应用程序层来进行安全分析。
WEB安全 已有 48515 人围观 ,发现 6 个不明物体
CSRF攻击防御原理
CSRF攻击防御原理
2020-01-14  
因为现代浏览器的工作机制原因,造成一种WEB攻击形态的存在, 这种攻击形式叫做CSRF攻击,以往我们是从攻击角度分析这种攻击的原理和操作。
WEB安全 已有 134003 人围观 ,发现 11 个不明物体
机器学习之恶意流量检测的特征工程
机器学习之恶意流量检测的特征工程
2020-01-14  
传统的机器学习除了使用Tfidf-ngram的方式外还有其他做特征工程方式,还可以通过定义不同维度的特征来做特征工程,这种特征工程方式需要安全工程师对每一种攻击有良好特征提取能力。
WEB安全 已有 37007 人围观 ,发现 4 个不明物体
Hessian反序列化RCE漏洞复现及分析
Hessian反序列化RCE漏洞复现及分析
2020-01-14  
Hessian是一个轻量级的RPC框架。它基于HTTP协议传输,使用Hessian二进制序列化,对于数据包比较大的情况比较友好。
WEB安全漏洞 已有 28765 人围观 ,发现 2 个不明物体
Python代码审计实战案例总结之CRLF和任意文件读取
Python代码审计实战案例总结之CRLF和任意文件读取
2020-01-09  
目前Python代码审计思路,呈现分散和多样的趋势。Python微薄研发经验以及结合实际遇到的思路和技巧进行总结,以便于朋友们的学习和参考。
WEB安全漏洞 已有 56049 人围观 ,发现 9 个不明物体
挖洞经验 | 在账户注册和意见反馈处发现越权漏洞(IDOR)
挖洞经验 | 在账户注册和意见反馈处发现越权漏洞(IDOR)
2020-01-08  
今天分享几点关于越权漏洞(IDOR)的发现经验,这类型漏洞通常发生在Web应用提供给用户基于输入的对象中,漏洞造成的影响将会致使攻击者可以绕过授权限制,访问到目标系统内其它不应该被访问到的资源或数据。
WEB安全漏洞 已有 47060 人围观 ,发现 4 个不明物体
挖洞经验 | 用空字节(Null Byte)触发内存泄露的4万美金漏洞
挖洞经验 | 用空字节(Null Byte)触发内存泄露的4万美金漏洞
2020-01-07  
作为前言,当我在7月底发现本文中的漏洞时,我还不知道有“空字节溢出”这种类型的安全问题。我仅只是对一个标准Web应用的用户输入点进行了Fuzzing测试,就发现了这么一个有意思的漏洞。
WEB安全漏洞 已有 88251 人围观 ,发现 10 个不明物体
浅析前端加密后数据包的修改方法
浅析前端加密后数据包的修改方法
2020-01-07  
渗透测试过程中,使用BurpSuite对Web站点进行数据包拦截时,有时会遇到应用程序在前端对数据进行了加密后再传输,导致拦截或监听到的数据包为密文的形式。
WEB安全 已有 76509 人围观 ,发现 15 个不明物体
Web防护自给自足:给Express写一个WAF中间件!
Web防护自给自足:给Express写一个WAF中间件!
2020-01-07  
NodeJS做为后端神器是很流行的。
WEB安全 已有 35571 人围观 ,发现 2 个不明物体
深度学习之Keras检测恶意流量
深度学习之Keras检测恶意流量
2020-01-07  
Keras是由 Python 编写的神经网络库,专注于深度学习,运行在 TensorFlow 或 Theano 之上。TensorFlow和Theano是当前比较流行的两大深度学习库,但是对初学者来说相对有些复杂。
WEB安全 已有 41842 人围观 ,发现 5 个不明物体
挖洞经验 | Firefox for iOS浏览器的二维码扫码XSS漏洞
挖洞经验 | Firefox for iOS浏览器的二维码扫码XSS漏洞
2020-01-06  
在手机中,我们通常访问一个网站的做法是打开浏览器在地址栏中输入网站地址,一般来说这样的方法有些烦人,所以,有些网站访问对象通常也会生成一个二维码图片,方便用户直接扫码访问。
WEB安全漏洞 已有 50223 人围观 ,发现 3 个不明物体
手把手带你利用SQLmap结合OOB技术实现音速盲注
手把手带你利用SQLmap结合OOB技术实现音速盲注
2020-01-06  
通过sqlmap神器通过OOB 把漫长几个小时的盲注的时间,缩短到了几秒。这篇文章就是把这些东西记录下来,并将具体的实现过程详细步骤分享给大家。
WEB安全工具 已有 104547 人围观 ,发现 33 个不明物体

最新话题

活动预告

css.php