前言最近get到了⼀个爬⾍利器crawlergo，于是就忽然想到与被动扫描利器xray和W13scan联动。准备本⼈系统：mac⼯具准备：w13scan、crawlargo、xray、chromiumW13scan 是基于Python3的⼀款开源的W...

SQL 注入所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）SQL命令注入...

WhatwebWhatWeb是一个开源的网站指纹识别软件。WhatWeb可识别Web技术，包括内容管理系统（CMS），博客平台，统计/分析包，Javascript库，服务器和嵌入式设备。简单使用单个目标whatweb 网址批量...

对于一种技术的好坏或者方案都需要用辩证思维去看待，不能因为人云亦云就选择去相信，实践是检验真理的唯一标准。这一篇文章主要讲jxwaf在init阶段所做的行为以及作用在jxwaf的nginx配置文件里...

基本配置靶机是从VulnHub上下载的DC3，配置如下：攻击机为Kali2020.3信息收集靶机与攻击机同处一个虚拟局域网中，首先扫描网段192.168.187.0/24。Kali网络设置如下：扫描网段：得到DC3的IP地址1...

一、本文介绍今天，我们来学习一项web安全里最常见的漏洞，暴力破解。本篇文章将会带领大家进入到暴力破解这项漏洞的世界里，让大家领略到暴力破解这项漏洞的魅力，从而对暴力破解漏洞有更深刻...

摘要：在实际渗透过程中，当我们成功入侵了目标服务器，想在本机上通过浏览器或者其他客户端软件访问目标机器内部网络中所开放的端口，进行进一步渗透测试时，可以用到今天要介绍的socks代理。s...

前言未授权访问是系统对用户限制不全，或者无限制，可以让任意用户或者限制访问用户，访问到需要权限认证的地址。未授权访问通常是会泄露用户信息，系统信息。某些服务和系统中，未授权访问还可...

1.Sql Inject(SQL注入)概述Sql Inject(SQL注入)概述在owasp发布的top10排行榜里，注入漏洞一直是危害排名第一的漏洞，其中注入漏洞里面首当其冲的就是数据库注入漏洞。一个严重的SQL注入漏洞，...

CSRF跨站点请求伪造(Cross—Site Request Forgery)：跟XSS攻击一样，存在巨大的危害性，你可以这样来理解：攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，...