这是 酒仙桥六号部队 的第 105 篇文章。全文共计3264个字,预计阅读时长10分钟。前言在渗透的时候扫了扫全端口,偶遇一个系统pgadmin4,它是一款管理postg...
代码审计
代码审计
安全文章
渗透测试之浅析WAF绕过
原创作者:TrueBW,作者博客:https://blog.csdn.net/weixin_39190897前言WAF 是什么?全称 Web Application Firewall (WEB 应用防...
安全文章
0Day | 通达OA 11.7 存在后台SQL注入漏洞
POST /general/appbuilder/web/report/repchart/data HTTP/1.1UserAgent: Mozilla/5.0 (Windows NT 10.0; W...
安全文章
极端内网隧道搭建
欢迎转发,请勿抄袭 本方法适用于只允许web端口通过的方式。因为很多时候,为了安全,只允许web端口对外开...
安全文章
常见六大Web安全攻防解析
前言在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的攻击的类型以及防御的方法。想阅读更多优质原创文章请猛戳G...
安全闲碎
聊聊AWD攻防赛流程及准备经验
前言AWD(Attack With Defense,攻防兼备)模式是一个非常有意思的模式,你需要在一场比赛里要扮演攻击方和防守方,攻者得分,失守者会被扣分。也就是说,攻击别人的靶机可以获取 Flag ...
安全文章
记一次bc推广
朋友给了我一个站,算一个比较大的bc,主站看了一下,没有入口,就换了他的一个推广平台然后首先大致扫了一下目录,希望可以看见一些有用的东西。这个时候我可以推荐大家一个接口,可以快速大致看看他重要的文件h...
安全文章
原创 | APP业务挖洞的碎碎念
点击上方蓝字 关注我吧0x00 前言这是一篇可能和你平时看到的关于APP渗透相关的文章不一样的一篇文章,也是我开始进入金融行业并从事金融行业渗透测试的一些总结,在日常的测试工作中,我接触到...
安全文章
CRLF (%0D%0A) Injection
什么是CRLF?当浏览器向Web服务器发送请求时,Web服务器用包含HTTP响应标头和实际网站内容(即响应正文)的响应进行答复。HTTP标头和HTML响应(网站内容)由特殊字符的特定组合分隔,即回车符...
安全工具
谈谈不为人知的 xray 子域名
不管是白帽子用于漏洞挖掘还是企业进行日常安全巡检,web 漏扫首先要问题的问题是解决扫描目标,并找准目标探测入口。俗话说:“巧妇难为无米之炊”。纵使手握 xray 如此强大的扫描器,如果一个白帽子不能...
逆向工程
Web解进阶题目思路(1~6)
Web进阶题目一、baby_web(难度:1)二、Training-WWW-Robots(难度:1)(robots协议)三、php_rce(难度:2)(注入)四、Web_php_include(难度:...
安全文章
几次攻防演练的经验分享
资产搜集很重要,除了FOFA一顿搜以外,打开网站的主页看看,各种超链接说不定也是单位资产。shiro永远的神!对于互联网资产很少的单位,或者很难搞的单位,可以趁早考虑钓鱼,不要想着等几天没进展了再做钓...
