0x00 JWT简介json-web-token简称java web令牌,也称作JWT,是一种可以实现跨域身份验证身份的方案,jwt不加密传输数据,但能够通过数据前面验证数据的未被篡改。❞JWT的组成...
TQLCTF-WriteUp
WebSimple PHP注册登录,/get_pic.php?image=/etc/passwd存在 LFI<?php// index.phperror_reporting...
安服笔记:花式玩转ctf的几个靶场
为了方便大家学习CTF相关知识,这里给大家整理了几个CTF练习靶场, 其中的题目涉及到CTF比赛方方面面的知识点(主要是web,不怎么会pwn,reverse),各位师傅在工作读书之余可以参考练习一下...
“Web3”即将推出,将彻底改变网络格局?
华盛顿邮报发表的一篇报道中,作家安东尼·芬奇和娜迪亚·沙德洛表示,随着第三代网络的出现,简称“Web3,天平将再次向普通用户倾斜。根据两位作者的说法,如果美国决定采用第三代网络,其可以在与一些东方国家...
安卓引入隐私沙箱限制用户数据共享
谷歌在安卓中引入隐私沙箱以更好保护用户数据共享的隐私。2月16日,谷歌宣布将在安卓系统中引入隐私沙箱功能,以在桌面web端外实现更加关注隐私的广告解决方案。引入隐私沙箱后,会限制对第三方的用户数据共享...
翻译 | OWASP API Top 10分析
与传统的web应用程序相比,现代开发过程更具动态性,依赖于快速的交付周期,并遵循微服务框架。此类框架在很大程度上依赖于应用程序编程接口(API)作为最关键的组建之一。不幸的是,虽然API提供了许多好处...
内网域渗透分析-实战总结(附靶场下载,文末知识星球)
目前回复“内网渗透”获取本实战靶场一、测试环境搭建靶场常见的网络拓扑环境如下:web 服务器安装有双网卡,一块网卡连接互联网,一块网卡连接内网,内网里的机器是无法直接连接互联网的。我们使用 vmwar...
web刷题笔记(一)
稻草人安全团队SUCTF 2019EasySQLSUCTF 2019 - EasySQLfuzz一下怎么不小心把flagfuzz出来了...这道题的源码是这样的:背后的执行逻辑需要猜通过fuzz及手动...
【创宇小课堂】渗透测试-apache简易蜜罐
前言:github 上已经有很多开源的蜜罐产品[1]了,但是感觉都不是我想要的,我想要的是 360 的Anglerfish[2]这种蜜罐,能够伪造 web 服务,欺骗攻击者,获取 web 攻击的 pa...
实战某巨型企业的渗透项目 | 高权限下的艰难渗透
我从来没想到一个sa权限的sqlserver居然有这么多坑。直接写一个成功的全流程步骤吧,踩坑太多写不过来。没写到的姿势不代表没有,但大部分姿势确实没有。这是一次某巨型企业的渗透项目,文中重码警告we...
浅谈 Web 漏洞挖掘技巧
据阿里巴巴公布的数据显示,今年双 11 天猫累计下单金额 4982 亿元。与此同时,京东的累计下单金额也远超 2715 亿元。仅仅这两个平台的消费额加起来就近万亿元,这无疑是一个新的记录。但当我们沉浸...
【红蓝对抗】记一次渗透过程中regeorg的利用
0x01 前言在最近的一次实战中,遇到了一个比较特殊的环境,故有了此篇文章分享给大家,如遇到相同的情况可以尝试使用这种方法。如大家有其他途径或者更好的方法也可以联系我们进行交流。0x02 web打点本...
125