关于XSS跨站脚本攻击的科普其实已经有人写的相当详细了，但是小弟还是要在这里献丑一下，目的主要是为了配合本站之前发布的SQL注入攻击科普文章，主要是为了我懂小弟学习方便，既然是科普文，那么我写的肯定是...

之前写了一个python ftp暴力破解工具，发到习科上面了，结果好多人说要我写一个mysql和mssql的工具，最近实在忙一直没有时间写，昨天晚上折腾了一个单线程版本的，先发出来给大家玩一下，这个工...

0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤，像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤，尤其是单引号。遇到这种情况...

为了测试WAF，要写一个ASP+MSSQL2005的注入点，自己又不会ASP，于是网上查到了这个文章，文章虽然很老，但是方法却是比较实用的。 首先你要拿了一个webshell，这样你找到连接数据库的文...

apache官方安全公告页面： http://struts.apache.org/development/2.x/docs/security-bulletins.html 其中涉及代码执行的漏洞有：S...

本文为习科科普贴，详述如何查找网站后台的方法，分享给大家，希望对大家有用。 1、穷举猜解 现如今可以暴力猜解网站后台登陆地址的软件有很多，从最早的啊D注入工具开始，一直到现在很多常用的工具(通常为SQ...

众所周知，Burp Suite是响当当的web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析，到寻找和利用安全漏洞等过程，所有工具为支持整体测试程序而无缝地在一起工作。 平台中所有工具共...

其实博客一直被电信给劫持广告，很烦，但是也不想动手折腾，忙完双11，空了点，花一天时间把博客给折腾了一下，开启https访问模式，收藏小弟博客的兄弟们，请重新保存一下链接地址。。 好久没有发布过关于博...

由于条件有限，没有钱弄VPS，只能用朋友的windows主机，但是wordpress在IIS环境下无法实现伪静态，很是郁闷。经过长时间的搜索，终于在国外大牛的博客上面发现了一个针对windows主机的...

分享点破晓团队发的漏洞挖掘经验，大家认真看，好好学习哦。以下内容转自破晓公众号，请自行关注。微信号：secbugs 因为平时工作忙，所以没有太多时间、经历去弄其他的事情，这个经验分享也算是姗姗而来吧！...

应群里朋友要求做的法客渗透游戏过关攻略视频，其实每一步大家认真研究一下都是能过的。 视频做完才发现法客论坛的客我写错了，不好意思，大家不要介意哦。。法客论坛我没有邀请码，不常去，唉。 第1关 1、ht...

THC-HYDRA是一个支持多种网络服务的非常快速的网络登陆破解工具。这个工具是一个验证性质的工具，它被设计的主要目的是为研究人员和安全从业人员展示远程获取一个系统的认证权限是比较容易的！ 新版本代码...