0X00 背景写这篇技术文有两个诱因，一是大菲兄弟@大菲哥和朋友从国外买了一篇二十美刀的XSS文章，做了翻译，自古XSS和sql注入是倚天屠龙的对立统一关系，所以有朋友说想看一看sql注入的文章。二...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。前言Kubernetes是一个开源的，用于编排云平台中多个主机上的容器化的...

下载地址http://sourceforge.net/projects/null-gameover/files/GameOver_v0.1_Null_VM.7z/download实战演练使用root，密码gameover登录查看IP地址为192.168.199.138Section 1不写了，太简单，...

*本文原创作者：罹♛殇，本文属FreeBuf原创奖励计划，未经许可禁止转载 0x01:前言WEB层的入侵检测一般会根据agent头信息、POST包请求信息基于攻击特征结合多逻辑语句以及响应体检测，HIDS基...

1.SQL注入在输入的字符串之中注入恶意的SQL指令，这些注入的指令会被数据库误认为是正常的SQL指令进行执行，是系统遭到破坏。例：String selectid='select'+id+' from StuInfo ';或：String sel...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。*本文原创作者：zhukaiang7，本文属于FreeBuf原创奖励计划，未经许可...

CTF是一种流行的信息安全竞赛形式，从今天开始我们将慢慢步入CTF之路，探求安全领域中的某些薄弱环节。直接进入主题：一、FALSE在我初步拿到一道WEB类型的CTF题目时，不管页面是什么样，我都会...

安全资讯[法规]  中央网信办关于开展App安全认证工作的公告 http://gkml.samr.gov.cn/nsjg/rzjgs/201903/t20190315_292035.html?from=timeline&isappinstalled=0[观点]  肖力：从RSA20...

长话短说，其实早在2016年我就创建了我的Hackerone/Bugcrowd profiles，但我从未在那里报告过任何的漏洞。这是第一个让我觉得值得报告的漏洞，也打破了我多年来零报告的记录。安全公告 Confl...

在渗透中，经常碰到关闭回显的漏洞，常见的XXE盲注，SQL盲注，反序列号无回显，这个时候常用到OOB带外数据通道，带外通道技术（OOB）让攻击者能够通过另一种方式来确认和利用所谓的盲目（blind...