*严正声明：本文仅限于技术讨论与分享，严禁用于非法途径。 事情起因 事情是这样子的，那天逛着街路过一家手机店，当场被店门口招揽客人的销售员拦下，硬塞了一张活动条和充电宝给我说什么充电...

前言做iOS逆向有段时间了，发现大多数人对于iOS逆向的了解是这样的。实际上呢，iOS逆向不光只是可以用来简单的开发个插件，用来实现微信抢红包或者钉钉自动打卡功能，它的用途基本包括下面几个...

前言17年起，我们引入建立了适合内部研发的SDLC流程，在传统的研发模式下，一个需求从意向拆分到用户故事，再到开发子任务，一次迭代大多都要经过2周以上的时间。经过重人力运营的严格SDLC活动...

背景某年的某个夏天，某单位需要做攻防演练，而且是全仿真的演练，只有客户名，没有任何资产信息。时间紧，任务重，于是我们兵分两路，一波人在远程从外围突破，我和另一个小伙则踏上了旅途，准...

一. 说明本文是我的一次有趣的追踪经历，写出来，作为一个盗号追踪案例，供大家参考学习，同时也有让大家重新反思低端诈骗的攻击性，和非网络安全从业者对网络诈骗的警惕性的作用。PS：本文仅用...

面试经验总结经过我对多个小伙伴的面试过程及结果分析，发现有很多人总喜欢说这个不怎么了解那个不怎么了解，如果你什么都不了解还来面什么试啊，所以切记，在面试过程中如果问到了你不会的技术...

不安全的直接对象引用（IDOR也称越权）是一种非常常见的Web授权逻辑型漏洞，其漏洞利用危害有时很小，有时也非常严重，今天我们就来讨论一种严重型的IDOR漏洞利用方式-即利用IDOR实现账户或项目...

基于数据的越权检测思路随着技术的发展和安全技术的普及，在大部分互联网企业web安全漏洞可能出现在业务逻辑上的漏洞比较突出，尤其是越权问题，黑盒测试会带来大量脏数据，同时白盒扫描让人无...

全球动态1. 遭共和党立法人抨击后，Twitter解冻《纽约邮报》账户上周五，Twitter公司表示他们已经更改了政策，并解除了对《纽约邮报》的账户冻结。此前，在该报发表了有关民主党总统候选人乔·...

摘要：对于WEB漏洞的越权漏洞检测，除了人工检测方法外，还有没有更好的办法。0x00 前言说起WEB安全大家能想到什么？SQL注入、XSS、越权、文件上传、CSRF等等漏洞？还是WVS、APPscan、openVAS等...