信息安全的75%发生在Web应用而非网络层。本文内容主要以Java Web安全-代码审计为中心展开。一、JavaWeb 安全基础1. 何为代码审计?通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序...

下载地址https://download.vulnhub.com/hackademic/Hackademic.RTB2.zip 实战演练下载完成后解压试用VMware虚拟机打开，可以看到登录界面，不需要登录。对这个靶机系统，我使用kali进行测试。首...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。 核心点  1. 绕过程序中的条件 2. 绕过 csp 3. 创建...

下载地址https://download.vulnhub.com/drunkadminhackingchallenge/drunk_admin_hacking_challenge.zip任务信息Reveal the hidden message for a date arrange that Bob sent to Alice.实战演...

*本文原创作者：罹♛殇，本文属FreeBuf原创奖励计划，未经许可禁止转载 0x01:前言WEB层的入侵检测一般会根据agent头信息、POST包请求信息基于攻击特征结合多逻辑语句以及响应体检测，HIDS基...

引言本文就笔者研究RASP的过程进行了一些概述，技术干货略少，偏向于普及RASP技术。中间对java如何实现rasp技术进行了简单的举例，想对大家起到抛砖引玉的作用，可以让大家更好的了解一些关于we...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。*本文原创作者：zhukaiang7，本文属于FreeBuf原创奖励计划，未经许可...

捕捉到的东西地址https://github.com/yingshang/Legacy-of-intrusion.git蜜罐地址https://github.com/yingshang/honeypot.git我发现使用docker去搞蜜罐是一种挺不错的选择，相对于说什么低交互...

前言本人是一名立志安全开发的大学生，有一年安全测试经验，有时在刷src的时候，需要检查所有target的web业务系统是否泄露敏感目录、文件，工作量十分庞大，于是Dirmap诞生了~知名的web目录文件...

就在几天前我针对Linux服务器池做了一次渗透测试，在我执行这项任务的时候我就知道在这些服务器上存在很大的密码重用概率。我设法获取其中一个服务器上的shell并通过使用privesc内核漏洞来取得r...