HTTP 代理这个名词对于安全从业人员应该都是熟知的，我们常用的抓包工具 burp 就是通过配置 HTTP 代理来实现请求的截获修改等。然而国内对这一功能的原理类文章很少，有的甚至有错误。笔者在做 ...

SSRF，Server-Side Request Forgery，服务端请求伪造，是一种由攻击者构造形成由服务器端发起请求的一个漏洞。一般情况下，SSRF 攻击的目标是从外网无法访问的内部系统。漏洞形成的原因大多是因...

专注Web及移动安全[红日安全97期]渗透测试，web安全动态-安全文章-安全漏洞-Web安全-代码审计标签：安全动态 Web安全 渗透测试 安全工具 视频分享安全动态[Security_week] 网络安全学习方法论之...

Jira服务端请求伪造攻击（CVE-2019-8451）Jira是Atlassian公司出品的项目与事务跟踪工具，被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。2019...

前言 题目主要考点：GOT覆写技术。关于GOT覆写的基础知识以及例题可以参考这些文章： 深入理解GOT表覆写技术 GOT表覆写技术 题目 I made a simple brain-fuck language emulatio...

Writeup 1: Controllable Database Connection本文由PeckShield漏洞研究总监Edward Lo撰写打开网站提示“Please connect to the database first” 还有一个 Connect的链接 所以应该跟数据库有关...

10月19日，在韩国首尔江南区CNN的The Biz会场，DVP全球黑客松大赛韩国站正式拉开帷幕。本场大赛由DVP主办，MIXMARVEL、Contentos、Bibox、ONTology、YEECO、Elastos协办，由白帽汇、PeckShield...

 3CTF初赛已经落下帷幕，题目类型包括理论题和CTF夺旗，CTF夺旗主要涉及Web安全、数据包分析、取证分析、隐写、加解密编码等内容；目前wp已出炉，让我们一起围观~ 1、立誓要成为admin的男人题...

文：李国聪 黑白天微信公众号xray是一种功能强大的安全评估工具，由多名经验丰富的一线安全从业者呕吐**打造而成，主要特性有： 检测速度快：发包速度快; 突破性检测算法高效...

什么是DNS Rebinding？假设你是一台公网服务器，无数人会给你发来URL，要求你进行内容加载。那么在这海量请求中，会有不怀好意的人发送内网URL，要求你进行加载，这其中的风险难以言喻。因此，...