1、短信轰炸 没有对短信发送进行合理的次数限制,攻击者可以多次发送短信,造成短信轰炸,消耗短信资源。登录界面、忘记密码、用户注册等所有短信验证码发送点都可以试试。 用靶场来进行验证,burp抓取数据包...
如何使用 Burp Suite Intruder 查找路径分隔符问题
在 Web 应用程序安全测试中,Web 服务器对 URL 中特殊字符的处理方式差异,可能引发网络缓存欺骗、访问控制失效等严重安全问题。下面将详细介绍如何使用 Burp Suite Intruder 工...
WAF攻防:40种花式绕过术,看黑客如何与防火墙斗智斗勇!
Web应用防火墙(WAF),这玩意儿现在是网络安全标配,就像给网站穿了层盔甲。它能监控HTTP/HTTPS流量,揪出恶意请求,保护你的Web应用不被各种奇奇怪怪的攻击搞垮。但道高一尺魔高一丈,黑客们为...
Apache Commons Text RCE 分析
漏洞描述Apache Commons Text < 1.10.0 RCE影响版本Version<1.10.0漏洞复现依赖<dependency> <groupId>...
40种绕过WAF防火墙的Payload混淆技术,绝了!
Web应用防火墙(WAF)作为现代网络安全的重要组成部分,通过监控和分析HTTP/HTTPS流量,识别和过滤恶意请求,以保护Web应用程序免受各种攻击。然而,攻击者为了绕过WAF的防护,会采用各种Pa...
40种绕过WAF防火墙的Payload混淆技术
Web应用防火墙(WAF)作为现代网络安全的重要组成部分,通过监控和分析HTTP/HTTPS流量,识别和过滤恶意请求,以保护Web应用程序免受各种攻击。然而,攻击者为了绕过WAF的防护,会采用各种Pa...
Google Dorking在OSINT中的一些妙用
扫码领资料获网安教程来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn)当我们进行目标侦察部分时,尤其是“发现敏感文件和文档”这一部分,我会让参与者利用文...
集成平台在备战三级等保测评中容易被忽略的测试点
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》(以下简称“基本要求”)中的“8.1.4安全计算环境”中虽然明确罗列了11项要求并明确了对应的测评单元,但在备战过程中仍然会有一...
【$6000】微软防火墙绕过,从CRLF 到 XSS
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景介绍:本文来自国外一位来自印度名叫Ne...
利用特殊符来绕过短信轰炸限制
本文首发于 Web 安全社区:https://web.sqlsec.com/thread/228 (安服仔水洞小姿势 - 利用特殊符来绕过短信轰炸限制)转载请注明出处。假设一个短信的接口如下:GET...
安全人员须知的TOP20漏洞编码安全规范
文章来源:系统安全运维 1.SQL注入 Ø 风险描述 SQL注入主要发生在应用程序数据库层面上。程序员在设计程序的时候,没有对用户的输入进行校验,含有特殊字符语句会被数据库误认为是正常的SQL指令而运...
优化 XSS Payloads 绕过大写与长度限制【部分】
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。博客新域名:https://gugesay...