0x1  前言本文章不谈技术，春节笔者也算才换了工作，主要讲一些找工作 团队 企业的一些坑点。希望大家少走弯路。观点不一定全部正确，仅仅收集与个人总结。0x2 关于找工作由于很多职场老司...

进行网站测试并且发现漏洞是有一定难度的。但结合使用RapidScan和UserLAnd，任何人使用未root的Android手机都可以通过几个简单的命令开始网站渗透。RapidScan在漏洞扫描器和网站审计软件的自动...

最近在审计公司的某个项目时(Java方面)，发现了几个有意思的Blind XXE漏洞，我觉得有必要分享给大家，尤其是Java审计新手，了解这些内容可以让你少走一些弯路。Java总体常出现的审计漏洞如下：&...

在渗透测试工作中，我们常常会遇到的各种版本的weblogic中间件，我们更多的情况是借助网上各种来源的poc/exp去进行测试，大家手头也确实积累了一些，例如针对wls模块，或针对t3协议啦，然而webl...

引言本文就笔者研究RASP的过程进行了一些概述，技术干货略少，偏向于普及RASP技术。中间对java如何实现rasp技术进行了简单的举例，想对大家起到抛砖引玉的作用，可以让大家更好的了解一些关于we...

安全资讯[新闻]  2019年全球网络安全热词排行榜https://mp.weixin.qq.com/s/agrm_Xgi1GJP3vmCiL4aVg[新闻]  一图看懂网络安全执法检查https://mp.weixin.qq.com/s/gAS2cFaWMUdY0s6sT6ZtHw[...

一、高悬的达摩克利斯之剑 2017年4月，黑客组织Shadow Brokers公布一批美国国家安全局（NSA）的网络漏洞军火库。背靠国家，NSA拥有强大的通杀型0day漏洞挖掘和利用能力，这批漏洞库指哪打哪...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。*本文原创作者：白河·愁，本文属FreeBuf原创奖励计划，未经许可禁止...

上篇内容我们介绍了XXE的基础概念和审计函数的相关内容，今天我们将继续分享Blind XXE与OOB-XXE的知识点以及XXE防御方法，希望对大家的学习有所帮助！ 上期回顾 ◀漏洞经验分享丨Java审计之XX...

安全资讯[法规]  中央网信办关于开展App安全认证工作的公告 http://gkml.samr.gov.cn/nsjg/rzjgs/201903/t20190315_292035.html?from=timeline&isappinstalled=0[观点]  肖力：从RSA20...