0x01 前言使用 radare2 逆向 iOS Swift 应用程序,我们将使用iGoat应用程序。我们的目标是反编译iOS Swift应用程序的外观。这是以前iGoat Objective C项目的Swift版本。使用OWASP iGoat，您可以...

作者：ZERO 所属团队：Arctic Shell参考文献：《sql注入攻击与防御》使用平台：pikachu漏洞练习平台导语：  在owasp发布的top10排行榜中注入漏洞一直是危害排名极高的漏洞，数据库注入一直是w...

Apache Tomcat，是世界上最广泛使用的Java Web服务器之一。带有默认配置的Tomcat服务器非常容易发现。发现暴露Web应用管理器的服务器也非常容易，它是一个应用，允许管理员启动、停止、添加和删...

IoT安全态势浅析1、IoT发展及市场展望互联网的发展改变了人们获取信息的方式，也改变了人与人信息交互的过程和体验。从传统的纸质出版物发展为网络资讯、电子图书，从口口相传到即时通信，从逛...

一、简介OWASP benchmark是OWASP组织下的一个开源项目，又叫作OWASP基准测试项目，它是免费且开放的测试套件。它可以用来评估那些自动化安全扫描工具的速度、覆盖范围和准确性，这样就可以得到...

欢迎关注我们的微信公众号：百度安全应急响应中心 一、概述       源代码安全检测是安全开发流程（SDL）中举足轻重的一部分，一般通过人工审计或者自动化工具来进行检测。在大型企业中，...

*文章原创作者：dawner，本文属于FreeBuf原创奖励计划，未经许可禁止转载研究漏扫这块儿有段时间了，虽然都是业余自己玩，但平素跟公司漏扫产品线打交道比较多，稍微有些心得，因此在这里简单分...

Web应用程序中发现RCE漏洞的情况还是挺常见的，2017 OWASP Top 10应用程序安全风险”也将“注入”置于第一位置，例如当解释器接收到用户可控的数据作为命令或查询来执行时，很有可能会导致注入...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。0x0 背景 以前做等级保护的时候漏扫经常扫描出来一些网站有CSRF...

在Web应用程序防火墙（WAF）bypass技术的第一部分中，我们已经看到了如何使用通配符（主要是使用问号通配符）绕过WAF规则。显然，还有很多其他方法可以绕过WAF规则集，我认为每次攻击都有其特定...