学习代码审计要熟悉三种技术,分四部分走一.编程语言 1.前端语言 html/javascript/dom元素使用，主要是为了挖掘xss漏洞，jquery 主要写一些涉及到CSRF脚本使用的或者DOM型XSS，JSON劫...

Redis提供了非常丰富的指令集，但是用户依然不满足，希望可以自定义扩充若干指令来完成一些特定领域的问题。Redis 为这样的用户场景提供了 lua脚本支持，用户可以向服务器发送 lua 脚本来执行自...

摘要2019年7月，有人在VirusTotal上传了一个疑似针对阿富汗攻击的样本。这个样本最初被判定为"SideWinder(响尾蛇)"组织所为，有安全者深入分析后发现C2是一个印度的网站。但是网站是...

一、什么是通过错误消息导致的信息暴露缺陷?软件会生成一条错误消息，其中包含有关其环境，用户或关联数据的敏感信息。二、通过错误消息导致的信息暴露缺陷构成条件有哪些?敏感信息本身可能是有...

背景介绍通常来说，管理本地管理员帐户的登录凭证是很难考虑周全的。从设置强密码到在多台机器上设置独特密码，我们很少看到能够正确做到所有这些安全措施的情况。在我们渗透测试的大多数例子中...

0X00    前言前段时间有幸和大佬们参加了一次一周的攻防演练，让我这个菜鸡体验到了红队的感觉。所以打算记录一下其中一个花了三天由xss存储到后台的踩坑过程，希望大佬们...

0X00 前言在.NET处理 Ajax应用的时候，通常序列化功能由JavaScriptSerializer类提供，它是.NET2.0之后内部实现的序列化功能的类，位于命名空间System.Web.Script.Serialization、通过System.Web...

序言在我们获得用户名口令后，尝试远程登陆目标主机并执行程序，结合实际环境做了如下测试。目标远程登陆目标主机执行测试程序测试环境远程主机：ip：192.168.40.137  用户名：test口令：t...

声明：本文仅限于技术讨论与分享，严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负，与本号及原作者无关。前言：客户仅提供官网下载地址给我们测试。但是由于官网的版本不是最新...

 1. 示例代码<!-- oauth-popup.html --><script>const handlers = Object.assign(Object.create(null), {getAuthCode(sender) { sen...