前言注入类漏洞经久不衰，多年保持在owasp Top 10的首位。今天就聊聊那些被人遗忘的http头注入。用简单的实际代码进行演示，让每个人更深刻的去认识该漏洞。HOST注入在以往http1.0中并没有host...

谈及到双因子认证或多因子认证时，解决方案有很多，可能会想到短信验证码、RSA动态令牌、Google Authenticator或者Duo，在国内由于某些限制的原因，Google Authenticator和Duo的应用案例较少，...

*本文原创作者：delay，本文属FreeBuf原创奖励计划，未经许可禁止转载 2017年初的项目中，我发现某客户单位的员工办公终端未进行内/外网物理隔离，内网通过设置浏览器代理服务器访问公网...

“强网杯”比赛刚刚结束，本文对其中的部分题目进行解析，欢迎拍砖。0x01 微信部分首先给了个公众号，有这么几个操作1. hello 没啥用 2. note [id] 查看对应id的笔记 3. test [url] 可以帮忙测...

最近在研究路由器封包拦截的拦截、过滤和还原，先后接触了ARP、DNS、中间人和Hijack等攻击手段。 hak5有一款WiFi Pineapple NANO的路由器，已经集成了很多攻击功能在里面，所以也就起了探索一下...

训练语料word2vec的算法是公开的，word2vec模型的质量完全取决于训练语料的质量。目前免费开放的预料不多，中文语料更是凤毛麟角。这里推荐使用搜狗实验室的中文语料，对应的网址为：http://www...

最近好久没更新博客，因为在忙着考雅思还有一直也在看CTF（=_=上个星期玩了一下腾讯的CTF……这酸爽，我一直都认为比赛是最容易提升自己实力的一种途径，上次比赛也发现了自己的不足，继续努力...

0x00 概述本报告由360云影实验室编写发布，主要分析Gh0st/大灰狼远控木马的通讯协议和其源代码中关于通讯协议实现的细节，以及对Gh0st/大灰狼通讯实现从自身安全性，实现的合理性上给出评价，举...

在网络安全中，对用户发布的垃圾内容，广告进行过滤，或者对文本类别进行分类都是非常重要的一环。cherry分类器使用了贝叶斯模型算法，通过简单的优化，使用了1000个训练数据得到97.5%的准确率...

0x00 前言Burp没有自带检测XXE漏洞功能，也没有插件。于是自己开始动手撸一个XXE Scanner插件出来。0x01 检测原理OOB XXE盲攻击，利用ceye监控的http记录，我们再通过ceye给的api进行查询是否有...