本文中，作者在测试某Web目标站点APP的过程中，通过其中的用户头像上传功能，可以成功上传并加载HTML文件，进步利用该HTML文件可以形成存储型XSS攻击，读取用户的密码信息。我们一起来看看其利...

本次代码审计的目标是zzcms的最新版本201910。下载地址为http://www.zzcms.net/about/6.htm。这次审计的主要范围是 /admin 默认后台管理目录（可任意改名） /user 注册用户管理程序存...

近日，奇安信病毒响应中心在日常黑产挖掘过程中发现一个基于脚本的木马架构，该脚本木马最早出现于2018年或更早，至今一直处于活跃状态。同时在日常样本分析过程中我们发现基于脚本的木马架构越...

概述近日，奇安信病毒响应中心在日常黑产挖掘过程中发现一个基于脚本的木马架构，该脚本木马最早出现于2018年或更早，至今一直处于活跃状态。同时在日常样本分析过程中我们发现基于脚本的木马架...

上回我们说到，通过ruler可以给已知用户名、口令的用户增加规则，从而在使用Outlook连接Exchange邮箱服务器的主机上做到任意代码执行。那么问题来了，如果不知道该用户的口令，能否控制他们的主...

一名澳大利亚男子因从苹果公司的服务器中窃取员工资料，随后在Twitter上公开发布，被判处5000澳元的罚款和18个月的观察期。 24岁的Abe Crannaford于6月3日周三在伊甸园当地法院出庭接受...

Nikto 已经在 Kali 中集成Nikto 帮助手册root@X:~# nikto -H   Options:       -ask+               Whether to ask about submitting updates                      ...

前言 渗透测试自动化是白帽子和各家公司一直在解决的一个课题，BurpSuit是渗透测试中必不可少的渗透神器，基于BurpSuit插件二次开发，完善丰富其功能，联动各类其他工具达到渗透测试自动化能够...

一款成熟的waf产品应该包含全方位的防御手段，一个优秀的waf必然是一个装满利器的工具箱。工具箱里面有：字符解码，强大的解码覆盖能力，双重嵌套解码，智能识别出编码方式再解码；正则匹配加速...

 前言 受到疫情关系地持续影响，广东的学校迟迟未开学，而我已经在家待了快5个月了。某企业授权我去测试下他们公司的整体网络安全性，而且也不会让我白干活，好处是少不了的。因为在家没有什么...