2020年12月，写作背景是一个宁静的夜晚，本篇文章主要是为大家带来一些开源WAF的介绍方便可以使用开源产品搭建靶机环境，增强对waf的认识，大佬们路过轻喷。Web应用防护系统（也称：网站应用级...

SQL注入原理老生常谈，SQL注入攻击的本质就是把用户输入的参数当做SQL语句来执行，Web应用程序对用户输入数据的合法性没有判断和过滤，攻击者可以通过构造不同的SQL语句来实现对数据库的任意操...

本文涉及靶场知识点-CVE-2020-14882&14883 weblogic未授权访问漏洞https://www.hetianlab.com/expc.do?w=exp_ass&ec=ECIDfdd4-97c8-4e32-89b7-df58dd102e4c&pk_campaign=weixin-wem...

2020年度安全人员跟踪900多个高级威胁活动，可在季度报告中找到详细信息。本文将集中讨论过去12个月中APT攻击的特点。Windows之外Windows仍然是APT的主要关注点，但今年也观察到了许多非Windows...

在这个时代，Web 和移动应用程序通常是由 RESTful 网络服务提供支持的。 公共和私有 API 在互联网上非常普遍，测试这些 API 绝非易事，但有一些工具可以帮助你。 虽然(通常用与渗透测试)工具不...

前言最近，全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击，其大量政府客户的信息遭越权访问，且红队工具被盗。虽然目前尚不清楚这些红队工具将被如何处置，但FireEye 公司在 GitHub 上...

事件背景近日，全球最著名的网络安全管理软件供应商SolarWinds遭遇国家级APT团伙高度复杂的供应链攻击并植入木马后门[1][2]。该攻击直接导致使用了SolarWinds Orion管理软件某些版本的企业客户...

原文来自SecIN社区—作者：WiHat0x00 什么是WebShell渗透测试工作的一个阶段性目标就是获取目标服务器的操作控制权限，于是WebShell便应运而生。Webshell中的WEB就是web服务，shell就是管理攻击...

最近一直在学SSRF，正好在CTFHub上面发现一个SSRF的技能树靶场，感觉不错，就做了做。该靶场涵盖了最基础的SSRF利用到SSRF攻击内网应用再到SSRF常规的Bypass思路，题目难度比较基础，对小白十分...

0x00 前言hdwiki这套系统分为两部分通读，它的代码逻辑非常有趣。一部分为程序路由，另一部分为控制器的初始化，为了代码思路清晰，笔者会在通读完这两部分后再挖掘漏洞。下载地址：https://www...