Burp Suite是一个集成化的渗透测试工具，它集合了多种渗透测试组件，使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中，我们使用Burp Suite将使得测试工作变得更加容易和方便，即使在不需要娴...

实战渗透测试中，web的攻防一直是重中之重，而无论是对于富有经验的老手黑客和新手脚本小子来说，相比 SQL 注入、XSS 漏洞等传统安全漏洞，逻辑漏洞都是最具价值的。这类漏洞往往危害巨大，可能造成企业的资产损失和名誉受损，并...

随着时代的变迁，人们对于网络的依赖变得日益加重，每时每刻都有成千上万G的流量在运营商的设备之间传输，随之产生的各种元数据对于企业来说就是金矿，分析元数据中可以获取各种有效的情报，这对于企业、国家、政体来说都是极...

通过burp抓包可以看到加密信息. 很明显可以看到 password 参数的值是经过前端加密之后再进行传输的，遇到这种情况，普通发包的爆破脚本就很难爆破成功。所以我们需要明白基础的加密概念，与常见的加密方式。...

由于云计算的发展，带来了如对象存储等很多丰富的中间件，应用开发者希望可以不用写后端逻辑，直接把逻辑写在客户端，组合云上的一些服务来完成业务逻辑，FaaS的概念逐渐浮现。...

最近团队在对某个厂商进行测试，在进入后台后的情况下进行黑盒测试，这次 webshell 差点被厂商以 “管理员身份进行 webshell 为由” 给我个低危评价，后面在我据理力争之下最终保住了，此漏洞在最新版本中也修复了...

在渗透测试前期，信息收集是非常重要的工作，需要对目标的各种信息进行分析，拆分和融合，目的是对目标进行全方位的了解，其中一个直接产出就是生成账号密码的字典，为后续的鱼叉，水坑攻击做好准备。很多时候的成功攻击，都是从一个...

什么是POC：即Proof of Concept，是业界流行的针对客户具体应用的验证性测试，根据用户对采用系统提出的性能要求和扩展需求的指标，在选用服务器上进行真实数据的运行，对承载用户数据量和运行时间进行实际测算，并根据用户未来...

网站渗透测试服务在给客户写报告模板或者检查表的时候，应逐步完善。写报告在渗透测试中耗费大量的时间和精力。花费的时间取决于客户和经理期望的交付成果。(中文大概意思是客户和老板能不能看懂你的报告)奖励项目报告...

Hack The Box是国外很专业的在线渗透测试平台，题型范围广、更新快，深受广大安全爱好者喜爱，不过有一定门槛，比如注册也是需要解题的，这篇文章就先讲一下注册，以后会更新靶场的题解官方网址：hackthebox.eu/...