本文探讨了如何使用未初始化的bash变量来绕过基于正则表达式过滤器和模式匹配的WAF，现在让我们看看它如何在CloudFlare WAF和ModSecurity OWASP CRS3上完成的。前文回顾Web应用程序防火墙（WAF...

0x1  前言新手向，渗透测试概述与流程。干货不水，主要包括渗透测试范围&思路 渗透测试平台搭建， 渗透测试流程但是注意任何没有明确授意 授权的渗透测试都可能存在法律风险，授权最好是纸...

虽然说都已经 9012 年了，安全从业者的日常依旧离不开各种工具的辅助。在 2018 年安全工具盘点的基础上，我们今年再增加一些免费或开源工具，供读者参考。其中有很多都经过专业人士的试用与推荐...

近日百度安全应急响应中心发布了《企业级自动化代码安全扫描实战》读者可以管中窥豹实例了解静态代码分析在互联网公司的落地情况了解该领域的业界的技术趋势和进展查漏补缺发现企业内部建设不足...

*本文原创作者：Yale1024，本文属于FreeBuf原创奖励计划，未经许可禁止转载0x01.前言本科所学专业就是IoT，面试安全岗位时大部分面试官都会问我写IoT安全相关的东西，虽然最后拿到offer定的岗位...

既然是快速上手指南，相信大家看完之后在1个小时之内就能安装部署到位。下面开始正题：一、功能介绍1.Web 2.0 攻击检测, owasp top 10 漏洞的检查与拦截，同时输出日志信息。2.服务器安全基线检...

'二十一世纪最重要的啥？人才！'。葛大爷在《天下无贼》曾经这样呼喊。但是在时下虫虫要说最重要是数据安全。不管是自动化DevOps，大数据还是AI，安全都是第一要务和基础，甚至国家层面安全也都...

2018年6月27日，公安部正式发布《网络安全等级保护条例（征求意见稿）》，标志着《网络安全法》所确立的网络安全等级保护制度有了具体的实施依据与有力抓手，标志着等级保护正式迈入2.0时代。20...

*本文作者：zhukaiang7，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。前言唬得住面试官50K，唬不住5K。公司一个银行外包项目，通知我明天跨省去面试，低调混了这么久，正好拿出时间分享下...

Linux下捕捉攻击事件在日常日志分析及取证过程中，通过掌握基本的取证手法，可以快取定位攻击者的途径以及手法，以下是整理出来的各种捕捉攻击特性的一些命令手法：1捕捉各类web漏扫工具特性常...