Mr_Zthan的窝

设置背景图片

置顶 中华人民共和国网络安全法

3
中华人民共和国网络安全法
《中华人民共和国网络安全法》是为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展制定。由全国人民代表大会常务委员会于2016年...

近期更新 短信轰炸绕过姿势

短信轰炸绕过姿势
介绍在测试甲方业务或者挖 SRC 等业务的时候,经常碰到发送短信验证的地方,我们可以联想到的就是任意用户登陆、短信轰炸、任意用户修改密码等逻辑性的漏洞,简单的漏洞也是需要清晰的思维分析,拿几个短信轰炸...

近期更新 IP代理池创建及定时更新

IP代理池创建及定时更新
介绍相信大部分从事安全行业的人都知道代理池是什么东西。无论是在渗透测试还是漏洞扫描方面,如果你只有一个或者几个IP可以用,那么相当于你游戏里只有一条或者几条命,一旦被kill(ban),就没有机会了。...

近期更新 聊聊安全测试中如何快速搞定Webshell

聊聊安全测试中如何快速搞定Webshell
本文作者为DYBOY,转载请注明。 WEB安全漏洞中,与文件操作相关的漏洞类型就不少,在大部分的渗透测试过程中,上传文件(大、小马)是必不可少的一个流程,然而各种各样的防火墙拦截了文件上传,遂整理文件...

pikachu之XXE

pikachu之XXE
一直没对XXE做个笔记,借助这次刷靶场补一下。本文也是pikachu最后一篇,其余几关感觉没什么好说的。如有疑问欢迎联系我呀。XML基础 当XML允许引用外部实体并解析时,会导致攻击者构造恶意实体...

pikachu之SQL注入

pikachu之SQL注入
拖了好久才发……上个周挖洞挖到精分可还行。 第一关:数字型 略,基本与下同第二关:字符型 payload 猜字段 http://127.0.0.1/pikachu/vul/sqli/...

Burp Intruder模块的tips

Burp Intruder模块的tips
       Intruder模块为我们爆破提供了极大的方便,但随着认证方式的日趋复杂,明文传输用户凭证的方式以及不能满足我们的需求,这就需要我们将数据包...

pikachu靶场解析之暴力破解

pikachu靶场解析之暴力破解
Burte Force(暴力破解)概述 “暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到...