聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士受邀制漏洞奖励平台 Detectify Crowdsource 的两名黑客 Hakluke 和 Farah Hawa 分享了在安全测试中常...
Web漏洞挖掘指南 -SSRF服务器端请求伪造
一、漏洞原理及触发场景0x1web服务器经常需要从别的服务器获取数据,比如文件载入、图片拉取、图片识别等功能,如果获取数据的服务器地址可控,攻击者就可以通过web服务器自定义向别的服务器发出请求。因为...
红蓝攻防演练资产收集小工具-bufferfly
红蓝攻防演练资产收集小工具,对攻防前的信息搜集到的大批量资产/域名进行存活检测、获取标题头、语料提取、常见web端口检测、简单中间识别,去重等,便于筛选有价值资产。 1.高速资产存活检测,获取标题 2...
HTTP攻击
一般Web程序在设计时,开发者对HTTP请求中包含的信息过份信息,没有进行相关验证处理导致攻击者可在HTTP请求中添加各种攻击向量,对正常请求参数进行污染等。1. HTTP响应分割1.1. ...
干货|CTF-sql注入总结(一)
点击上方蓝字关注IDLab本文章来自IDLab团队第一Web手-Xenc没有搞不定的sql注入 --Xenc01What is SQL Injection ...
CTF-web的经历
最近参加了内部CTF,只会web,题目不难,基本做的差不多了。因为不确定是否可以传播,因此截图和源码都比较少,主要是心路历程。第一题,PHP unsafe扫描到/download.php,/downl...
云原生时代下,如何守护无处不在的API通信
点击蓝字关注我们API技术的出现使前端界面与后端服务器的数据交互更加便捷,因此被开发者广泛使用。伴随着API使用的指数级增长,其潜在的数据安全与个人信息泄露风险,也成为了企业亟需解决的问题。所以,在云...
第五空间-2021 部分WriteUp(晋级)
社企组前18 第五空间 本次比赛Web差一题AK,但是云安全/人工智能/数据安全/区块链/MOBILE均未解出,不过运气比较好,很多优秀团队都去了学生组,最后擦边晋级,只能说很幸运。线下赛将由HACH...
MRCTF2020部分题的总结与复现
0x00 前言题目整体来说不太难,毕竟是个新生赛,Web出的大部分题都很简单。但考察的知识点等方面,确实需要总结一下。于是我总结了部分MISC和Web。(Crypto不想总结)。0x01 WebPYW...
第二届“金盾杯”题目总结与复现
前言Web手,再次玩起了杂项。因为是省赛,所以题目除Web题外,并不太难(当然Web听说也不难,只不过对于我这个Web小菜鸡来说有点难)。上午ak了MISC,下午差一道题没有ak Crypto。然后就...
ATT&CK实战系列-红队评估 (六)Vulnstack靶场内网域渗透
当才华支撑不住你的野心,你就应该静下心来读书学习。整理了“ATT&CK实战系列-红队评估"全部七套靶场。文章结尾附全套免费下载链接。靶机环境-魔改的红日6,修改了bluecms源码;地址:ht...
不一样的web,不变的魔术方法
每周五固定节目又来了!今天给大家带来的是第二题<不一样的web>,从名字得知这还是一道Web题型。 在实验指导书的预备知识里看到了phar反序列化的内容,似曾相识啊,这不就是《Weekly...
125