PentesterLab 简介web for pentester是国外安全研究者开发的的一款渗透测试平台,包含以下主要的漏洞：Code injection （代码注入）Commands injection（命令行注入）XSS（跨站脚本）SQL injecti...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。*本文原创作者：Moonlightos，本文属FreeBuf原创奖励计划，未经许可禁...

Facebook和Chrome用户要注意了，最近有一款名叫FacexWorm的病毒，可以窃取密码，窃取加密货币，或者向Facebook用户发送垃圾邮件。趋势科技研究人员于4月底发现这个新病毒，似乎与去年的另外两起...

* 本文作者：国光，本文属FreeBuf原创奖励计划，未经许可禁止转载简介Termux是一个Android下一个高级的终端模拟器，开源且不需要root,支持apt管理软件包，十分方便安装软件包，完美支持Python,P...

* 本文作者：yangyangwithgnu，本文属FreeBuf原创奖励计划，未经许可禁止转载千辛万苦拿下的 webshell 不是 www-data 用户就是 networkservice 权限，要想拓展攻击面、扩大战果，提权，是必经之...

*本文作者：jamzy，本文属FreeBuf 原创奖励计划，未经许可禁止转载。前置知识：函数执行流程因为程序分为静态链接跟动态链接，因为好多库函数在程序中并不一定都用到，所以在处理动态链接程序的...

* 本文作者：erwinlic，本文属FreeBuf原创奖励计划，未经许可禁止转载0×00 WAF概要目前软WAF的开发，大部分都采用Nginx+Lua基于openresty的方式，安全防护策略如果是基于lua正则匹配http请求内...

什么是LLMNR？LLMNR（Link-Local Multicast Name Resolution，链路本地多播名称解析）协议是一种基于DNS包格式的协议。它可以将主机名解析为IPv4和IPv6的IP地址。这样用户就可以直接使用主机名...

我对公司的APP进行测试的时候发现，我们是将所有的参数内容加上一个32位字符最后在进行MD5加密。由于APP处理的流程首先是验证sign是不是正确，如果验签失败，根本就进不去数据库，为了要使用SQL...

*本文原创作者：cgf99，本文属FreeBuf原创奖励计划，未经许可禁止转载我们安全团队前两次分析了redis病毒和etn挖矿病毒行为，请见“利用Redis未授权访问漏洞的挖矿病毒阴魂不散”“和“Linux系...