0x00 Python安全检查引擎Xcheck的Python分析引擎，能够自动分析Python写的Web应用，检测诸如命令注入、SQL注入、URL跳转、SSRF、XXE等常见的Web安全漏洞。Python语言的Web框架十分丰富，对于主...

pocassist是一个 Go (Golang) 编写的全新的开源漏洞测试框架，实现对poc的在线编辑、管理、测试。如果你不想撸代码，又想实现poc的逻辑，又想在线对靶机快速测试，那就使用pocassist吧。作者：j...

环境搭建这里我本来用的php版本是7.4，结果怎么试都不行直到搜索到ph师傅的这篇文章 的评论区有人指出7.4貌似不行https://www.leavesongs.com/PENETRATION/fastcgi-and-php-fpm.html之后换了7.2...

免责声明该文章仅用于信息防御技术的交流和学习，请勿用于其他用途； 在未得到网站授权前提下，禁止对政府、事业单位、企业或其他单位网站及系统进行渗透测试；技术是把双刃剑，请遵纪守法，做...

引子随着DevOps模式的落地，快字当头。研效提速也意味着出现安全漏洞的数量和概率随之上涨。过去安全风险的管控主要依赖于DAST类技术，即：采用黑盒测试技术，对待检查目标发起含检查用例的请求...

周五接到某攻防演练的通知，于是开始了以下的信息搜集方式开始当然不得不从企查查查公司开始，本来就不富裕的我果断选择了免费的爱企查查看股权结构的时候发现许多控股公司，先作为信息点，搜集...

关于MagicReconMagicRecon是一个功能强大的Shell脚本，它可以帮助广大研究人员在有针对性的挖洞过程中，最大化地收集网络侦察信息和其他数据。MagicRecon所收集到的所有数据都将以一种规范化的...

0x00 Node.js安全检查引擎Node.js作为常见的Web开发语言之一，Xcheck也针对该语言打造了对应的扫描引擎：JsCheck。同样基于污点传播模型，支持以下常见漏洞类型：命令注入SQL注入URL跳转SSRF路...

作者：ruiqiang前言在针对云上业务的的攻击事件中，很多攻击者将攻击脆弱的元数据服务作为攻击流程中重要的一个环节并最终造成了严重的危害。以2019年的美国第一资本投资国际集团（Capital One...

本篇文章是Redis数据库漏洞复现，记录了实际中常见的Redis数据库未授权访问漏洞及主从复制RCE，主要分为七个部分：Redis简介、Redis安装、Redis基本操作、Redis漏洞复现、Redis联动SSRF漏洞、Re...