IAST 发表于 2022-11-22 | 分类于 IAST IAST 交互式应用程序安全测试通过在服务端部署Agent持续收集、监控Web应用程序运行,准确识别安全缺陷及漏洞。 特点IAST不是扫描器!!IAST误报率极低、可定位到代码行数、展示污点调用过程等 阅读全文 »
软件/系统工具 发表于 2022-06-29 | 分类于 软件 安装Windows系统 WinPE系统,可安装到U盘,引导旧电脑https://www.wepe.com.cn/download.html 阅读全文 »
Log4j2远程执行命令回忆录 发表于 2022-01-11 | 分类于 漏洞 , Log4j 引言记录下只有在大公司才能遇到的困难和挑战 漏洞简介Log4jRCE,让内网主机去连接远程ldap服务器,进行反序列化,执行任意命令 阅读全文 »
SSRF科普 发表于 2021-12-28 | 分类于 SSRF 目的通过利用有SSRF漏洞的公网web应用作为代理,攻击内网机房中的其他机器或本地服务器 原理暴漏在公网的有SSRF漏洞的系统,因未对目标地址做过滤与限制,导致执行了恶意的payload,可探测内网其他应用或本机服务文件 阅读全文 »
CC防御/接口防刷 发表于 2021-12-07 | 分类于 CC攻击 CC攻击的传统防护 每个Web访问者在规定时间内允许访问的次数。 根据IP、Cookie或者Referer字段区分Web访问者。 当访问超过限制时,对其访问进行阻断或者发送验证码验证。 阅读全文 »
白盒密钥 发表于 2021-11-19 | 分类于 白盒密钥 -Android应用的白盒加密-Android應用的白盒加密 目的业务执行AES对称加密算法,必然要考虑如何安全存储加密密钥key的问题,白盒密钥实现在整个加密过程中不再明文出现(非)对称密钥 图解 阅读全文 »
SDN网络 发表于 2021-08-27 | 分类于 SDN -SDN名词解释 什么是SDNSDN:网络设备(交换机、防火墙、路由器)可以集中式管理,可编程,控制和转发分离。 购买SDN交换机设备来管控现有的网络设备
微信PC端Burp抓包 发表于 2021-08-10 | 分类于 抓包工具 最新Burp下载地址,Java版本必须10以上-🔰雨苁ℒ🔰 Burp_2020.6开始支持HTTP/2只需要三个文件Burp_start.vbs,burpsuite_pro_v2020.jar,BurpSuiteLoader_v2020.jar微信PC端抓包Burp+Proxifier结合,抓PC端所有应用的网络请求,如微信应用程序: 1wechat.exe;WeChat*.exe 阅读全文 »
