"又一天过去了。今天过得怎么样,梦想是不是更远了?"导读 以前做的一个简单的梳理,涉及操作系统、数据库、中间件、HTTP协议、XSS、文件处理漏洞、访问控制漏洞、会话管理漏洞、请...
DeepSeek攻防战|web安全如何应对网络威胁新挑战
近来,DeepSeek(深度求索)走俏全球,随之而来的大规模恶意网络攻击却一度让DeepSeek为了能够持续提供服务而不得不临时限制注册。作为一款基于人工智能的大模型工具,DeepSeek在短时间内遭...
WEB安全 | 石某文档测试记录
过程在对系统进行检测时,将突破点定位到头像上传功能点。经深入测试,发现该功能存在可嵌套加载头像地址的情况。同时,结合系统中本身就存在的注销加载地址问题,经过分析与思考,我们构思出了如下操作方式。抓包,...
CTF训练营-Web篇 | 第二十一周更新:字符串逃逸
本周我们将在上一周的基础上对序列化的知识点进行深入的学习,我们将细致的学习Phar反序列化及其原理;此外我们将看一个非常经典的反序列化利用方式,字符串逃逸。经过本周学习,相信同学们将对反序列化有了更为...
网安原创文章推荐【2024/11/22】
2024-11-22 微信公众号精选安全技术文章总览洞见网安 2024-11-220x1 4.ASP.NET VirtualPath型内存马HW专项行动小组 2024-11-22 19:16:20 W...
CTF训练营-Web篇 更新:文件包含(二)一览包含技巧
本周我们将在上一周的基础上进一步对文件包含的利用方式进行详尽的讲解。包括日志、Session、fd/envrion等各种文件的包含技术,相信经过本周的学习,同学们将能独立应对大部分文件包含的赛题。第一...
HTTP注入
本Web安全基础推文系列旨在以平白的语言讲解漏洞原理,文章多数内容为我本人的学习笔记与总结,汇总供大家参考。 目录 1 HTTP注入 1.1 GET注入 1.2 POST注...
中兴 ZSRV2路由器 文件读取漏洞 POC
0x03 漏洞描述 中兴 ZSRV2路由器 存在文件读取漏洞。 0x04 漏洞复现 fofa:title = ZSRV2路由器Web管理系统 1.执行poc进行/etc/passwd读取...
【工具推荐】一款针对Web安全的参数提取与检测工具
前言 它是一款功能强大的 Python 工具,专门用于从指定网站提取和识别带有参数的 URL。通过抓取和分析域的 URL,ParamWizard提供了一种全面的方式来发现Web应用程序中...
渗透工具箱:网安大牛的必备攻防利器!
“未知攻,焉知防”打好网络安全基础,才能更好的守护网络安全。众所周知,为了能够有效地应对黑客袭击,保障网络安全,国家大大加强了对网安方面人才建设的培养。网络安全相关岗位的薪酬非常高,相关证书的补贴也很...
Web安全之SRI(Subresource Integrity子资源完整性)详解
Web安全之SRI详解在现代Web开发中,前端性能和用户体验是至关重要的。为了提高加载速度和减少服务器负载,开发者通常会使用外部资源,如第三方库和CDN(内容分发网络)提供的脚本和样式文件。然而,这些...
【web安全】分享三款Webshell管理工具(菜刀、蚁剑以及冰蝎)
今天继续给大家介绍渗透测试相关知识,本文主要内容是菜刀、蚁剑以及冰蝎三款Webshell管理工具简介。 一、三款webshell管理工具简单对比 当前,在渗透测试时常用的webshell管理工具又菜刀...