前言 本文作为《新视角下企业云化安全治理框架OCBC》B基准（云产品安全基准中安全基线子项）的纵向阐释篇，细化在云产品和服务风险管控中的一些个人理解、思考和落地实践。 CSPM历史 CSPM的产生...

前言 本次文章只用于技术讨论，学习，切勿用于非法用途，用于非法用途与本人无关！ 信息收集阶段 KALI攻击机：192.168.1.128 靶机：未知 目标：root.txt和user.txt nmap -sn 192.168.1.0/24 nma...

数字签名技术是现代密码算法中非对称密码算法和消息摘要算法相结合的十分优秀的解决方案，应用面广泛，涉及到的知识点很多，本文将从概念、技术实现、合规性分析等方面逐一进行讲解。 1.数字签...

文章来源 |MS08067 Java代码审计5期作业 本文作者：zoom7  1、全局搜索XSS Filter 未发现对XSS进行过滤 2、登录后发现XSS功能点 3、测试 4、抓包查看路由 5、debug，更新数据库未做过...

简介 在2022年的Defcon大会上,安全研究人员Wietze Beukema通过对进程级环境变量的研究，提出了一种Dll劫持新思路，下面就其中涉及的技术点展开介绍。 01 环境变量 每一个进程都有一个环境...

关于APTRS APTRS，全称为Automated Penetration Testing Reporting System，即自动化渗透测试报告系统，该工具也是一款针对Python和Django的自动化报告工具。该工具允许广大安全研究人员或渗透...

一、从Java原生反序列化开始 1. 简介 自JDK1.1，为方便程序之间共享数据，Java便提供了对象序列化机制。其允许将Java对象转换为字节序列，这些字节序列可以保存在磁盘上，或通过网络传输，以后...

关于BWASP BWASP是一款针对Web应用程序安全的开源工具，在该工具的帮助下，广大研究人员可以通过手工方式对Web应用程序进行漏洞分析。 BWASP工具可以通过对漏洞的分析来给广大研究人员提供预测...

关于Phantun Phantun是一款功能强大的轻量级UDP转TCP混淆工具，该工具可以将UDP数据包混淆成TCP连接，旨在以最小的处理和封装开销实现最大的性能。该工具通常用于UDP被阻止/限制但TCP被允许通过...

0x01简介NoXss是一个供web安全人员批量检测xss隐患的脚本工具。其主要用于批量检测，比如扫描一些固定的URL资产，或者流量数据，会有不错的效果。测试到目前一个月发现将近300个xss，项目地址：...