si1ent

Real-World-Bug-Hunting

《Real-World Bug Hunting: A Field Guide to Web Hacking》是一本2019年面向Web安全初学者的安全入门书籍.本书主要分享一些厂商的实际漏洞案例,并给出奖金额度、PoC和报告链接,覆盖了许多常见的Web漏洞类型,比如XSS、SQL注入、XXE ...
Read more

JMeter高并发

JMeter想必大家都比较熟悉,一款高并发测试工具.为什么今天要介绍它呢?不说了,都是泪. 始末因进行安全测试未进行高并发测试而被薅羊毛,所以后来及时跟进并复测.导致出现被薅的原因是高并发请求致使数据库锁表,进来部分脏数据(刷红包),所以在这也提醒测试同事记得进行高并发测试.祝好运! 地址文 ...
Read more

前端安全漏洞学习

JavaScript作为前端功能强大的客户端脚本语言,本质是一种解释型语言。所以,其执行原理是边解释边运行。上述特性就决定了JavaScript与一些服务器脚本语言(如ASP、PHP)以及编译型语言(如C、C++)不同,其源代码可以轻松被任何人获取到。而粗心的开发者将各式敏感信息存储在Jav ...
Read more

Linux应急示例

🤦‍♂公司某测试服对外的Redis被黑导致被植入挖矿程序(kdevtmpfsi),所以就想着整理一份简单的Linux应急学习学习. 图:ECS告警 起因ECS告警(如上图所示)某测试服,短信和控制台中提醒存在恶意程序(备注:上图只是存在恶意下载源,并不是真实恶意程序告警).因此赶紧进行 ...
Read more

越权访问

可访问/修改未授权内敏感信息;而造成这一隐患的主要原因就是权限控制不严,导致普通账户可访问/修改未授权敏感信息。下面根据两个示例来简单介绍下: 越权分类横向越权横向:是指用户可查看/修改同用户级别下的信息. 位置:经常出现用户登后,查看个人信息或修改个人信息处通过修改user_id类的参数来 ...
Read more

Unvalidated_Redirects_and_Forwards

参考如下整理的思维导图😄,后续会跟进以下环境测试结果情况. Start快到碗里来 Open&Redirect&Forwards
Read more

CVE-2019-0708复现

2019年9月7日凌晨,metasploit官方发布CVE-2019-0708漏洞利用代码,该EXP可以通过RDP协议进行远程代码执行攻击.官方描述此漏洞相关危害可参考2017年WannaCry事件,强烈建议用户及时安装补丁以避免受到损失. 漏洞始末漏洞原理CVE-2019-0708(远程代 ...
Read more

基础网络学习文档分享

基础网络学习主要是针对那些想学习计算机网络的同学所分享的学习文档,虽网上还有很多,但还是贴出来供大家参考、学习. HTTP协议关于HTTP协议,网上有很多资料可以学习和参考,但这里推荐《图解HTTP协议》具体推荐理由就不多阐述了,下图: 网络是怎样连接的这本书主要从最基本的网络单节点到广域 ...
Read more

加密电梯卡成功复制至米3手环

平时工作、生活中难免会遇到电梯卡、门禁卡等类似RFID卡,但也同样遭遇忘带、丢失等情况;而这次将为您解决这些烦心事. 哇!好像很强哦! 写在前面小米官方介绍小米手环不支持模拟/复制加密类智能卡. 如果你不相信那你可以看看下面识别后出现的结果,如下图所示: Tools1、MifareC ...
Read more

WebLogic基础

Weblogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标 ...
Read more
Prev Next