搜索精彩内容
包含"ssrf"的全部内容
IPv6 三个访问本地地址的小Tips
最近发现家里宽带支持IPv6了,这里分享三个利用IPv6访问本地地址(内网地址)的方法。 通常来说,我们用localhost来代表本地地址127.0.0.1。其实在IPv6中有他自己的表示方法ip6-localhost: 另...
攻击Scrapyd爬虫
类似我一贯的做法,这次Real World CTF我出了一道实战性的题目,目标仍然是getshell。 我们以渗透测试的步骤来审视这道题目。 0x01 信息搜集 与我以往的题目不同的是,这次虽然我自己写了一部分...
CVE-2021-21287: 容器与云的碰撞——一次对MinIO的测试
事先声明:本次测试过程完全处于本地或授权环境,仅供学习与参考,不存在未授权测试过程。本文提到的漏洞《MinIO未授权SSRF漏洞(CVE-2021-21287)》已经修复,也请读者勿使用该漏洞进行未授权...
【转】PHP代码审计
代码审计顾名思义就是检查源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞,并提供代码修订措施和建议。 PHP代码审计 审计套路 通读全文法 (麻烦,但是最全面) 敏...
趋势 | 为什么WAF越来越让人失望? – 作者:CA-沃通WoSign
导语Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来...
Xray使用基础 – 作者:白色的空盒子
*本工具仅供技术分享、交流讨论,严禁用于非法用途。下载地址:https://github.com/chaitin/xray/releases https://github.com/chaitin/xray 特色使用 go 语言编写,跨平台、纯异步、无阻塞,并...
Redis 常见漏洞利用方法总结 – 作者:MrAnonymous
Redis是什么?Redis是数据库的意思。Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供...
滴滴、boss直聘启动网络安全审查,网络安全法不容忽视 – 作者:ys雨笋教育
近日,滴滴出行为了赴美上市出现泄露道路信息和用户数据一事app被下架,并被网络安全审查事件引发广泛热议,没想紧接到BOSS直聘、货车帮等被启动网络安全审查,这到底是怎么回事?跟随小编来一...
如何使用Interactsh收集和分析服务器和客户端代码 – 作者:Alpha_h4ck
关于InteractshInteractsh是一款功能强大的代码数据提取开源解决方案,该工具可以收集和分析服务器端和客户端代码,并检测能够实现外部交互的安全漏洞,比如说SQL盲注、CMD盲注和SSRF等漏洞。功...
从一道CTF题目看Gopher攻击MySql – 作者:undef1ned
前言虽然比赛过程中没做出来,结束后仔细研究了一下。感觉很有意思,分享给大家。再次体会到重要的不是结果,而是研究的过程。题目简介34c3CTF web中的extract0r。题中的目是一个安全解压服务,...