作者：掌控安全-veekXSS基础跨站脚本（英语：Cross-site scripting，通常简称为：XSS）是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观...

原文来自SecIN社区—作者：gtfly这两天没事打了一下西工大的校赛，以下是部分WEB题目的write up查源码右键不能用，直接在URL前面加上view-source:即可验证码考察点：node.js数组特性、利用链构...

ngx_http_log_module简介ngx_http_log_module模块按指定的格式写访问日志。请求在处理结束时，会按请求路径的配置上下文记访问日志。 如果在请求处理期间产生了内部跳转(参考另一篇nginx跳转讲...

一、前言上篇内网渗透(附录1)主要讲的是Windows这块，最近知识星球“腾讯安平密友圈”提到了一个问题“为什么内网渗透偏向于Windows”，笔者也在下面进行了相关回复，除了传统的信息收集、弱口...

前言SSTI（Server-Side Template Injection）服务端模板注入在CTF中并不是一个新颖的考点了，之前略微学习过，但是最近的大小比赛比如说安洵杯，祥云杯，太湖杯，南邮CTF，上海大学生安全竞赛等...

前言同事昨天给了我一个站，顺便还找了到了源码，让我看看。这个网站有管理员登录、教师登录和学生登陆，我从最薄弱的学生登陆下手。我各种123456、123456789、123123、666666各种弱口令一顿怼...

GDPR 通用数据保护条例-中文版全文GDPR将对人们的网络足迹、使用的APP和服务如何保护或利用这些数据产生重大影响。下面我们将对有关GDPR人们最关心的问题进行解读。GDPR是什么？一般数据保护条...

原文来自SecIN社区—作者：寅儿0x01 开源情报收集样本下载链接：https://app.any.run/tasks/ffc1ecff-e461-4474-8352-551db7e7b06f/常用平台:VT，微步，哈勃 app.any.run, joesandbox图一：VT检...

作者：掌控安全-柚子ssrf基础知识ssrf的定义SSRF(Server-Side Request Forgery,服务器请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的...

在这个时代，Web 和移动应用程序通常是由 RESTful 网络服务提供支持的。 公共和私有 API 在互联网上非常普遍，测试这些 API 绝非易事，但有一些工具可以帮助你。 虽然(通常用与渗透测试)工具不...