6月再见，7月你好2020年已经过去一半啦上半年的小目标完成的怎么样了上半年的flag已经过去收拾好心情准备开启下半年的白帽大表哥们跟着盒子君一起看看七月又有哪些新活动让我们挖洞致富不要停！...

什么是csrf？ 全称是跨站请求伪造（ cross site request forgery)，是一种对网站的恶意利用，就是一个中间人，当客户登录到网站上面时，会在本地生成一个cookie，如果你没有退出账户的话，攻击...

SSRF，即服务端请求伪造。当服务器需要请求资源时，请求的资源、协议、路径等可被用户控制。即可造成SSRF攻击。 本文着重研究通过 gopher协议 ，对 Redis服务 进行SSRF攻击，进而getshell。 gop...

本文讲述了作者以邮件登录服务为突破口，利用其中的Zimbra应用功能和邮件端口配置bug，可以对目标邮件服务端执行流量转发设置（SSRF），实现对所有登录用户的明文凭据信息窃取。 背景介绍 Cafeb...

一、简介：安全之路，在于不骄不躁，虚心的学习免责声明：请勿通过学习文章之后对真实网站进行测试二、正文：SQL注入原理SQL注入概念及产生原因？当web应用向后台数据库传递SQL语句进行数据库操...

本文主要讨论 mysql 在 Linux 环境下通过 mysql 配置、mysql语句以及结合系统配置，进行文件读取；shell写入；udf提权；和mysql在SSRF中的利用。（有许多踩坑点） 读文件： load_file load_fil...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。 内容介绍 本课程是HackerOne出品的Web安全免费在线课程（Hacker101）...

前言 渗透测试自动化是白帽子和各家公司一直在解决的一个课题，BurpSuit是渗透测试中必不可少的渗透神器，基于BurpSuit插件二次开发，完善丰富其功能，联动各类其他工具达到渗透测试自动化能够...

序言 第一次接触SSRF，还是在乌云的猪猪侠大佬的分享，现在很多同志还是不太了解，我做一个简单的描述，有不对的地方可以多多交流 Ssrf(Server-Side Request Forgery:服务器端请求伪造)  csrf...

WebLogic两处任意文件上传漏洞（CVE-2018-2894） 涉及版本：version：10.3.6.0，12.1.3.0，12.2.1.2，12.2.1.3 漏洞地址 WebLogic管理端未授权的两个页面存在任意上传getshell漏洞，可直接获取...