“cosocket 是把协程和网络套接字的英文拼在一起形成的,即 cosocket = coroutine + socket。遇到网络 I/O 时,它会交出控制权(yield),把网络事件注册到 Ng...
高级技巧:利用Lua编写安全场景的测试数据生成工具
Tim@PortalLab实验室1. 背景在流量采集和分析的场景中,一种常见架构如下所示:在上述架构中,交换机通过流量镜像的方式,将用户与应用服务器之间的流量“复制”给流量采集/分析服务器。流量服务器...
红队技巧:基于反向代理的水坑攻击
0x00 前言在红队行动中,一般使用邮件钓鱼会携带诱饵附件,但常被邮件网关拦截,如果想要去收集更多的有效信息,可以在邮件中埋入水坑链接。而埋入的水坑的制作,对于红队来说又有些繁琐,因此本文记录一下我实...
基于Nginx反向代理水坑攻击
STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此...
Nginx后门模块的编译和使用
Nginx 1.9.11开始支持动态模块参考文章如下:https://www.nginx.com/blog/compiling-dynamic-modules-nginx-plus我们在本地编译自己的...
实战Nginx+lua 实现请求劫持
实战中遇到的其中一个小案例,比较简单,当时拿到了目标域名权限,目的是拿到shell,因为审计过代码,发现后台有上传,但没找到后台地址,最后利用此方法拿到了后台地址,账号密码,最后在后台拿到了shell...
开源框架openresty+nginx 实现web应用防火墙(WAF)
1、简介 Web应用防火墙(Web Application Firewall, WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚...
OpenResty 安全漏洞
OpenResty 安全漏洞 漏洞ID 2405802 漏洞类型 其他 发布时间 2021-04-06 更新时间 2021-04-07 CVE编号 CVE-2020-36309 CNNVD-ID CN...
WAF代码剖析之初识openresty
为什么会有这一系列的文章?自从这几年信息安全的大力发展,信息安全的建设是逐步发展起来,作为甲方安全工程师,一个人的安全部,使用开源的WAF部署防御攻击,仿佛是件很平常的事情,但是开源的坏处就是没有人能...
开源框架openresty+nginx 实现web应用防火墙(WAF)
1、简介 Web应用防火墙(Web Application Firewall, WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚...