渗透测试平台类： Metasploit，这个大家都不陌生了，集信息收集，预渗透，渗透，后渗透，木马，社会工程学于一体的平台，居家旅行，杀人越货之必备。SET（Social-engineer-toolkit） 主要用来做社工平台，邮件伪造，dns劫持，以及office钓鱼。 Co...

0×01 前言 SQL注入，这个类型的漏洞我真的学了好久好久好久好久，即是我刚刚开始接触安全就学习的第一种漏洞，也是一个迄今为止还在学习的漏洞类型，只能说，感觉自己还是有很多还是不会的。从一开始的手工一个网站一个网站...

修改.htaccess文件 301跳转重定向 <ifmodule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_HOST} xbbai.site$ [NC] RewriteRule ^(.*)$ https://www.xbbai....

基于DOM的XSS漏洞利用 Mavo框架会创建一个名为$url的对象，该对象能够为开发人员提供访问GET参数的便捷方法。例如，如果你想访问GET参数“x”，那么你可以访问$ url对象的“x”属性，示例如下所示：$url.x //获取GET参数x 但...

概述 ---- Web应用中有许多基本的安全机制，其中一个是同源（same-origin）策略机制，该机制规定了应用程序代码可以访问的资源范围。同源策略的基本思想是，源自于某台服务器上的代码只能访问同一台服务器上的web资源。 比如，...

常用的一些可执行的文件脚本后缀：.php .php2 .php3 .php5 .phtml.asp .aspx .ascx .ashx.cer.jsp .jspx 在上传的文件中使用一些特殊的符号，使得文件被上传到服务器中时路径被截断从而控制文件路径。常用的进行文件路...

今天小白就来讲一下大家都熟悉的 xss漏洞的攻击利用。相信大家对xss已经很熟悉了，但是很多安全人员的意识里 xss漏洞危害只有弹窗或者窃取cookie。但是xss还有更多的花式玩法，今天将介绍几种。 1. xss攻击添加管理员 ...

0x00 背景本周拿到OTCMS的源码便对该源码进行审计，发现这个源码使用了预编译暂时没有找到SQL注入相关的问题，且对用户输入的内容控制比较严格，对大部分的用户输入位置进行数据类型的转换，引号的转义等安全处理，最后通过审...

企业面临的安全挑战已经发生改变如今，越来越多的企业选择部署移动技术和数字化来强化自己的业务，传统的业务模式在新的技术革命中面临新的安全问题和挑战。这些挑战集中体现在如下几个方面：第一，固守网络边界安全难以达到...

漏洞分析Drupal 在 3 月 28 日爆出一个远程代码执行漏洞，CVE 编号 CVE-2018-7600，通过对比官方的补丁，可以得知是请求中存在 # 开头的参数。Drupal Render API 对于 # 有特殊处理，比如如下的数组：比如 #prefix 代表了在 Re...