Web安全
关注
分享
扫一扫
文章平均质量分 93
tnt阿信
tnt阿信
展开
-
网络安全求职该怎么写简历?
金三银四,金三银四之前在学校里投简历的时候其实对这句话的感受还不是特别深直到最近看到身边的人一个个跑路,才不得不感叹,三四月份人员流动是真的大不知道大家有没有留心观察,最近各大企业对安全人才的招聘也多了起来就包括我们公司也在努力地招人这不前段时间我帮团队发了个招聘贴嘛,也终于第一次看到如此多同行的简历然后就发现一些小伙伴儿好像还不太注意修饰自己的简历,写得有些草率啊然后现在不正好是招聘旺季嘛,也算是来凑凑热闹,来和大家聊聊我心目中一份合格的简历是啥样式儿的说不定还可以帮到一些在校的朋友们,岂原创 2021-03-23 22:37:03 · 16800 阅读 · 4 评论 -
GraphQL安全问题
graphql使用在我看来,graphql提供了一种api的解决方案。以前我们查询api提供的数据是怎么做的呢?举一个例子,例如现在有这么一个查询书籍信息的接口:/book/info,按照我们之前的解决方案,我们一般会传一个类似book_id的参数到这个接口,然后接口把书籍信息返回给我们同样的,如果又有一个查询作者信息的需求,那么我们会新增一个接口:/author/info,并以book_id为参数查询作者信息可以看到,以往我们使用的api查询数据的操作是分散的,彼此之间是没啥联系,查询多个数据就要向原创 2021-01-09 11:29:26 · 2736 阅读 · 1 评论 -
CVE-2020-7143漏洞复现
复现一波原创 2020-12-27 14:41:08 · 2301 阅读 · 0 评论 -
在甲方做安全的第五个月
看了下日期,距我上一次在这里发文已经过去24天了不发文绝对不是因为我是懒????奥你们听我狡辩其实这事儿主要还是得怪川宝????????大选落败你说建国好好的一个美国总统怎么说没就没了呢这事儿对我的打击实在是太大了我高兴沮丧得整宿整宿睡不着觉等我好不容易从这事儿中缓过来我又发现本已销声匿迹的浑元形意太极门☯️掌门人马保国又在江湖上掀起了腥风血雨没有花里胡哨的功法,他凭借着一套闪电五连鞭直接霸占B站热门一个月只要一打开B站就可以看到他那张大脸鬼畜、仿妆、舞蹈以及模仿秀真是快给我整???原创 2020-11-29 17:09:12 · 1559 阅读 · 1 评论 -
我穷,学历低,但我想好好学
这是前几天一位读者朋友发来的发完这几句话,他就告诉我他要去军训了,可能30号回来所以我也没急着回复他说实话,看到他的留言,我还是有点想法的因为迷茫、穷这两个字实在是太戳眼了????特别是穷之前也有很多读者和我聊天,他们也会说他们很迷茫但是他们不会说他们穷可以看得出来,小伙儿可能是真的和我一样穷????但是这个咱们聊不了,穷可太难解决了我们可以聊一聊怎么解决迷茫迷茫是啥?在我看来,迷茫就是不知道做什么或者怎么做?前者是一个选择题,后者则是一个问答题我该做什么?根据这位读者给出的信原创 2020-10-19 09:32:08 · 802 阅读 · 4 评论 -
yii2反序列化0day后续
补充一点原创 2020-09-22 08:49:45 · 1252 阅读 · 0 评论 -
我自学安全踩过的那些坑
非技术,只是聊聊体悟原创 2020-09-21 09:25:31 · 2131 阅读 · 3 评论 -
我是如何挖掘yii2反序列化0day的
累原创 2020-09-21 09:19:15 · 1734 阅读 · 0 评论 -
SRC挖掘信息收集之JS文件中的秘密
js中有很多东西呀原创 2020-09-11 09:17:46 · 5685 阅读 · 11 评论 -
记一次曲折的RCE挖掘过程
????原创 2020-09-10 20:19:40 · 1618 阅读 · 1 评论 -
一款检测Fastjson反序列化的burp插件
用了都说好原创 2020-09-01 08:44:06 · 6926 阅读 · 3 评论 -
CORS配置错误带来的安全问题及利用手法
最近一直在挖CORS配置错误这个问题,但是还没找到像样的案例,就先归纳一下这个漏洞,顺便记录一下学到的新姿势,希望对大家有所帮助在阅读本文之前,你应该已经知道什么是CORS了,以及CORS配置错误会带来的安全问题,当然不懂也没关系,我用几句话简单给大家描述下这个问题。CORS基础CORS的全称是跨域资源访问,我们都知道同源策略(SOP)限制了我们的浏览器跨域读取资源,但是我们在设计开发一些网站的时候,本来就需要跨域读取数据,但是因为有同源策略的存在,我们要跨域就太麻烦了,所以cors应运而生,这个策.原创 2020-08-24 08:58:04 · 3029 阅读 · 2 评论 -
BlackHat2020议题之Web缓存投毒
也就码了一天原创 2020-08-10 20:18:47 · 1310 阅读 · 0 评论 -
一套漏洞组合拳接管你的账号
就是有点费劲~原创 2020-08-08 23:22:58 · 696 阅读 · 0 评论 -
无需括号的xss payload
现在就是非常后悔原创 2020-08-08 13:09:00 · 1763 阅读 · 1 评论 -
简单聊聊CVE-2020-13379
多次跳转导致的ssrf原创 2020-08-04 07:57:57 · 8240 阅读 · 0 评论 -
换一种姿势挖掘任意用户密码重置漏洞
解锁新姿势原创 2020-07-24 19:51:37 · 583 阅读 · 0 评论 -
我不是针对你,我是说在座的各位经常写出这些漏洞
做咸鱼真滴快乐~原创 2020-07-08 18:30:15 · 743 阅读 · 0 评论 -
2020优秀博文集合
如题原创 2020-02-22 11:25:57 · 589 阅读 · 0 评论 -
不是我说,只要你把这个游戏通关了,XSS漏洞你就搞清楚了
xss小游戏原创 2020-02-20 12:47:47 · 830 阅读 · 0 评论 -
谈谈log4j的反序列化
文章发布在安全客:https://www.anquanke.com/post/id/195932原创 2020-02-17 11:24:54 · 1357 阅读 · 0 评论 -
这可能是你入门java安全最好的练习靶场!
真的香原创 2020-02-17 10:59:16 · 4261 阅读 · 0 评论 -
安恒杯2019.12月赛
本小菜就做了一些简单的题目原创 2019-12-23 11:23:17 · 1308 阅读 · 0 评论 -
thinkcmf任意漏洞包含漏洞分析复现
如题原创 2020-02-17 11:06:04 · 1333 阅读 · 0 评论 -
some vulnerabilities in qibosoft(齐博CMS整站系统v7)
没错,这篇文章是我写的,全英文的原创 2019-10-23 13:03:36 · 6127 阅读 · 0 评论 -
Weblogic xxe漏洞复现及攻击痕迹分析(CVE-2019-2647)
如题原创 2019-05-05 20:16:01 · 6183 阅读 · 4 评论 -
SSTI and RCE in Confluence
这可是有意思的漏洞原创 2019-04-17 17:54:08 · 871 阅读 · 0 评论 -
偶然的一次渗透测试
实战原创 2018-07-24 21:28:25 · 776 阅读 · 0 评论 -
CVE-2017-3248&CVE-2018-2628
如题原创 2019-05-27 14:07:17 · 2726 阅读 · 0 评论 -
cve-2018-3191简析
如题原创 2019-05-27 14:07:58 · 1904 阅读 · 0 评论 -
cve-2018-2894简析
如题原创 2019-05-27 14:09:05 · 2299 阅读 · 0 评论 -
cve-2017-3506&cve-2017-10271简析
如题原创 2019-05-27 14:10:16 · 8215 阅读 · 4 评论 -
weblogic T3协议(附python脚本)
就随便搞了搞原创 2019-07-31 16:31:50 · 5673 阅读 · 2 评论 -
你知道你用的xdebug也能够被黑客攻击吗?
废话,我当然知道!原创 2019-10-10 16:44:31 · 588 阅读 · 0 评论 -
Zimbra xxe+ssrf导致getshell
我分析的第一个java漏洞原创 2019-03-26 20:42:35 · 6495 阅读 · 8 评论 -
CVE-2017-1882漏洞复现(通杀office)
如题原创 2019-01-30 20:48:37 · 1404 阅读 · 0 评论 -
[漏洞复现]ms17-010(永恒之蓝)复现
如题原创 2019-02-04 12:32:23 · 2609 阅读 · 0 评论 -
实验吧-后台登陆(writeup系列)
前言 本系列博文系实验吧的writeup,我希望通过此方式记录下自己的学习轨迹,也给大家一个参考,欢迎与我讨论交流 右键查看审查元素就可以看到源码中的逻辑判断。我们重点关注下这里的sql语句: $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."...原创 2018-06-04 12:24:27 · 2486 阅读 · 0 评论 -
实验吧-加了料的报错注入
前言不得不说这一题对我来说挺有难度的,以前没有遇到过。看了别人的writeup过后,也想要记录一下,给自己攒攒经验 这题的解法有两种: (1)HPF(http parameter fragment) (2)exp()报错注入HPF注入查看源码: 就是要提交post数据,我直接在burpsuite里面操作。 随便输入两个参数,页面提示login failed。根据源码中的s...原创 2018-06-04 22:04:44 · 3704 阅读 · 11 评论 -
浏览器解码与xss
简介 如今,浏览器可能已经在互联网行业占据半边江山了,它几乎是我们使用的最多的 一个软件,但是由于它的一些特性,经常会出现很多的问题,这让开发人员很是头疼,所以今天我们就站在安全的角度(解码)来深度剖析一下浏览器的工作原理。 也是对这么久以来查询的资料的一个总结。浏览器组成 用户界面 - 包括地址栏、后退/前进按钮、书签目录等,也就是你所看到的除了用来显示你所请求页...原创 2018-06-06 10:09:02 · 2662 阅读 · 12 评论