漏洞威胁分析报告（上册）- 不同视角下的漏洞威胁

前言刚刚过去的2020年以极具戏剧性的开场和魔幻现实主义的中章，给传统行业当头一棒，疫情的延伸早已超出了绝大部分人的预料。传统行业被迫转型；企业被迫选择线上办公；学校被迫开设网课。在经济体系运作如此困…

 Further_eye 2021-03-09 14:53:36

5,551 0 0

PHP文件包含小总结

这是酒仙桥6号部队原创的第150篇文章1.前言     最近在某个项目上天天挖洞，每天不是什么信息泄露就是xss，没有一个能getshell，愁的不行，感觉头顶…

 酒仙桥六号部队 2021-02-23 16:37:24

4,655 0 1

Web.config在渗透中的作用

前言　本文主要介绍web.config文件在渗透中的作用，即可上传一个web.config时的思路，话不多说，开始正题。首先我们来看一下web.config是什么，援引百度百科的介绍：　Web.con…

 合天网安实验室 2021-01-11 14:42:26

7,203 0 3

浅谈SVG的两个黑魔法

前言之前在CTF比赛中遇到了一些关于SVG造成的安全问题，多亏诸多师傅的题目给我的一顿痛打让我又了解了不少新的知识和SVG在WEB安全中的应用，拓展了我的攻击面。本文涉及靶场知识点——XXE漏洞分析与…

 合天网安实验室 2020-11-26 14:44:15

5,701 0 3

记一次X情漫画的XSS盲打

0X00     什么是XSS盲打？　　简单来说，盲打就是在一切可能的地方尽可能多的提交XSS语句，然后看哪一条会被执行，就能获取管理员的Cooike…

 HACK_Learn 2020-11-24 18:00:46

5,119 0 0

这可能是最适合萌新入门Web安全的路线规划

最近在后台经常收到粉丝问，Web安全有没有什么路线。确实，Web安全的范围实在太大，哪些先学，哪些后学,如果没有系统的路线会降低大家效率，对于刚入门的同学们来说简直就是“噩梦”。所以，这篇类似学习路线…

 合天网安实验室 2020-11-13 14:01:55

5,690 1 1

从网关进入内网到DNS协议出网

这是 酒仙桥六号部队 的第 103 篇文章。全文共计3444个字，预计阅读时长10分钟。前言在一个风和日丽的下午，特别适合躺在草坪睡大觉。六点十五分临近下班，突然微信响了…

 酒仙桥六号部队 2020-11-13 11:59:19

8,076 1 6

从一道CTF学习Service Worker的利用

本文目录：作者：Hachp1@Timeline Sec作者博客：https://hachp1.github.io题目初探首先，题目提供了一个在线访问工具，会去访问提交的url。在“联系站长”处有：嘿~…

 Timeline Sec 2020-11-10 11:14:14

4,146 0 0

记一次授权测试到顺手挖一个0day

这是 酒仙桥六号部队 的第 93 篇文章。全文共计2986个字，预计阅读时长11分钟。前言记在一次授权的渗透测试过程中遇到了这样一个项目，开始对前台一顿fuzz…

 酒仙桥六号部队 2020-10-22 10:48:00

6,130 1 1

渗透测试之黑白无常“续”

这是 酒仙桥六号部队 的第 41 篇文章。全文共计3867个字，预计阅读时长12分钟。背景继上一篇《渗透测试之黑白无常》之后，当时的目标中还有个WordPres…

 酒仙桥六号部队 2020-10-14 15:53:30

7,909 1 2

一次bypass Xss-waf的经历

点击上方 关注我们吧！以下是原文------小小分割线----- 那原本是一个Happy的夜晚，我搞了二两小白酒，听到领导发来的消息，还TM喝酒，加班了！接到测试网站，利用crawlergo…

 重生信息安全 2020-10-14 13:53:57

5,803 1 0

TokyoWesterns CTF 6th 2020 部分WP

到学校有点水了，因为为了绩点，很多课都没逃，都在努力听（除了一些水到不行到课）国外的ctf比较有意思而且值得去做，以下是我的一些记录。T4rn@Timeline Sec1、Backgroundurlc…

 Timeline Sec 2020-10-13 16:46:26

4,834 0 2

第四届强网杯青少年专项赛——线上选拔赛部分writeup

  出题的难易程度适中，比较青少年年龄段的CTF选手解题，但是也有些题存在不少脑洞。最后的话我们队（我，烨师傅，lxy师傅）是取得了线上选拔赛的第一名，种种原因没有去到线下赛。这次…

 教主assassin 2020-10-12 15:43:50

4,555 0 2

「Burpsuite练兵场」CSRF（一）

CSRF（Cross-site request forgery，跨站点请求伪造）是一种是挟制终端用户在当前已登录的Web应用程序上执行非本意操作的攻击方法，它允许攻击者诱导用户执行他们不打算执行的操作…

 i春秋聚集地 2020-09-17 15:49:34

7,806 1 6