关注我们
QRcode 邮件联系 新浪微博
分类:web安全
  在Go中使用反向代理进行网络钓鱼测试

在Go中使用反向代理进行网络钓鱼测试

‍ ‍ 免责声明:本文仅用于教育目的。切勿使用文中提及的技术从事任何非法活动!
对于一个攻击者来说,要想实施一次网络钓鱼攻击,往往需要做大量的准备工作。例如搭建钓鱼站点,引诱受... ‍ ‍
  关于SQL注入漏洞的4个误解

关于SQL注入漏洞的4个误解

‍ ‍ 预告:如果你对SQL注入方面的攻击与防御技术感兴趣。那么,欢迎你参加我们在3月16号星期五早上九点举办的,免费在线GroupBy会议。

SQL注入已是一个老生常谈的话题,但时至今日... ‍ ‍

Solveme.peng.kr平台Web题解

‍ ‍ 前言
最近发现了一个Web练习平台:http://solveme.peng.kr/chall里面所有的Web都是源码审计,感觉网上相关题解很少,于是抽空做了一下,写了一篇文章,欢迎大家和我多多交流!

warmup... ‍ ‍
  挖洞经验 | 看我如何在Jive

挖洞经验 | 看我如何在Jive

‍ ‍

写在前面的话
很多渗透测试人员会对各种各样不同的服务以及应用程序进行安全测试,但他们往往会忽略自己的产品和服务。在这种情况下,他们就可能成为攻击者的首要目标,毕... ‍ ‍
  CTF实战:USV

CTF实战:USV

‍ ‍ 前记
最近在某平台上down了一个CTF靶机玩玩,感觉还挺有意思的,故写出我的解题思路。
根据官方给的信息本靶机一共有5个flag,分别为:Croatia, France, Italy, Laos, Phillipp... ‍ ‍
  爬虫代理搭建与批量安装

爬虫代理搭建与批量安装

‍ ‍ 代理对于搞爬虫的都不会陌生。公司有一批阿里云服务器用于分布式增量抓取,但对于一些封ip且只需进行一次全量抓取的数据源,或数据量级较小时,如果部署到爬虫集群上又太费事不值... ‍ ‍
  谷歌为G

谷歌为G

‍ ‍ Google 为 G Suite 服务推出了全新安全功能,包括企业云计算,生产力和协作工具。
现在企业用户可以使用 Gmail 来绑定企业自定义域名,并进行商务和企业内部的邮件联络。
而G Sui... ‍ ‍
  使用SQLMap进行Access注入

使用SQLMap进行Access注入

‍ ‍ *本文原创作者:simeon,本文属FreeBuf原创奖励计划,未经许可禁止转载
1.1使用sqlmap进行access注入
对于存在access注入的站点,可以通过手工注入或者工具注入来获取access数据库... ‍ ‍
  安卓四大组件审计实验(drozer)

安卓四大组件审计实验(drozer)

‍ ‍ *本文作者:烟波渺渺正愁予,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
0×00前言
四大组件是组成安卓应用的关键部分,每个应用都是由一个或者多个组件组成。主要有4个组件... ‍ ‍
  关于网络钓鱼的深入讨论

关于网络钓鱼的深入讨论

‍ ‍ 网络钓鱼相信大家都不会太陌生。近年来,随着人们网络安全意识的提升,网络钓鱼的手法也变得越来越高明。攻击者的社工经验愈加丰富,钓鱼技术也愈加的先进和新颖。作为企业,通... ‍ ‍
  重新认识被人遗忘的HTTP头注入

重新认识被人遗忘的HTTP头注入

‍ ‍ 前言
注入类漏洞经久不衰,多年保持在owasp Top 10的首位。今天就聊聊那些被人遗忘的http头注入。用简单的实际代码进行演示,让每个人更深刻的去认识该漏洞。
HOST注入
在以往h... ‍ ‍
  从外部Active Directory获取域管理员

从外部Active Directory获取域管理员

‍ ‍ 这是我在博客发的第一篇非web类的博文。我曾是一名Web开发人员,我对信息安全的兴趣也从 web 开始。从最初的兼职到如今的全职,活动目录(Active Directory)测试已成为我最喜欢... ‍ ‍
  混在运维部的安全员说“端口与口令安全”

混在运维部的安全员说“端口与口令安全”

‍ ‍ *本文作者:liong03;本文属FreeBuf 原创奖励计划,未经许可禁止转载。


1.   前言
先简单自我介绍一下,其实,我是一个安全工程师。现就职于某互联网金融企业负责公司整体网络安... ‍ ‍
  CVE

CVE

‍ ‍ *本文原创作者:tocttou,本文属FreeBuf原创奖励计划,未经许可禁止转载

在本文中,我向大家分享一个我在去年发现的Edge浏览器的漏洞。这个漏洞利用了浏览器XSS过滤器的缺陷,来绕过... ‍ ‍
  网易云音乐PC客户端加密API逆向解析

网易云音乐PC客户端加密API逆向解析

‍ ‍ *本文作者:Tan993,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

1、前言
网上已经有大量的web端接口解析的方法了,但是对客户端的接口解析基本上找不到什么资料,本文主要分... ‍ ‍

远丰集团旗下CMS疑有官方后门

‍ ‍ *本文作者:温酒,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
起始

这个后门是在去年的某次渗透测试中发现的,但是因为时间点比较敏感,客户也未修复,就还未披露。
他们在... ‍ ‍
  CSRF(跨站点请求伪造)在Flash中的利用

CSRF(跨站点请求伪造)在Flash中的利用

‍ ‍ 0×00 前言
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨... ‍ ‍
  分析CVE

分析CVE

‍ ‍
前言
每周我们都能听到或看到许多关于安全漏洞的预警或报告,虽然看上去大多数的漏洞都千篇一律,但对于我们渗透测试人员而言,其中的一些思路方法和利用点却尤为吸引我们的... ‍ ‍

一秒找出用时间和随机数生成的上传文件名

‍ ‍ * 本文作者:golang,本文属FreeBuf原创奖励计划,未经许可禁止转载
在做渗透测试或者ctf比赛的时,常遇到一种任意文件上传漏洞,上传后的文件名,是使用时间加随机数生成的。常见的如p... ‍ ‍