安全性，原生能力和你的责任 报告安全问题 Chromium 安全问题和升级 安全是所有人的共同责任 隔离不信任的内容 Electron 安全警告 清单：安全建议 1) 仅加载安全内容 为什么？ 怎么做？ 2) 不要为远程内容启用 Node.js 集成 为什么？ 怎么做？ 3) 为远程内容开启上下文隔离 为什么 & 如何? 4) 处...

7-7 - QOS 无权限访问 可能的原因 排查和解决步骤 7-7 - QOS 无权限访问 7-7 - QOS 无权限访问 可能的原因 本次 QoS 请求无权限访问对应的资源，通常出现在有恶意攻击的场景下 排查和解决步骤 检查请求是否是预期发生的，如果非预期请检查是否有恶意攻击源。 如果是预期的，请参考 QoS 安全 一文配置对应的权...

10.14. 代码注入和输入验证 10.14. 代码注入和输入验证 代码注入攻击当程序使用的输入或其他外部变量未清洗而导致对程序逻辑的修改时发生。 这可能允许攻击者对应用程序的设备或它的数据的访问权限，导致服务拒绝或引入许多的恶意副作用。 授权服务器和客户端必须清洗（并在可能的情况下验证）收到的任何值—特别是，“state”和“redirect_u...

交易延展性 | Transaction Malleability 交易延展性 | Transaction Malleability 没有一个比他被的签名哈希脚本可以保护签名脚本，所以给有限的DoS攻击留下了方便之门，也称之为交易的延展性。签名脚本（signature script） 包含一个secp256k1的椭圆曲线加密签名，但是不能签名签名脚本自...

11. 其他 11. 其他 内容索引: 11.1. 代码审计 11.1.1. 简介 11.1.2. 常用概念 11.1.3. 自动化审计 11.1.4. 手工审计方式 11.1.5. 参考链接 11.2. WAF 11.2.1. 简介 11.2.2. 防护方式 11.2.3. 扫描器防御 11.2.4. WAF指纹 11...

五、HTML 注入 描述 示例 1. Coinbase 评论 2. HackerOne 无意识 HTML 包含 3. WithinSecurity 内容伪造 总结 五、HTML 注入 作者：Peter Yaworski 译者：飞龙 协议：CC BY-NC-SA 4.0 描述 超文本标记语言（HTML）注入有时也被称为虚...

绕过入口点的物理工具 LAN Turtle 绕过入口点的物理工具 本书不会深入研究物理工具及其操作方法，因为纸上得来终觉浅，若要真正深入了解物理工具及其操作方法，实践是最好的老师。进行物理评估的最佳方法，一直都是实践、建立物理实验环境，搞清楚哪些方法可行，哪些不可行。我来盘点一下过去我们团队用过的一些很酷的工具： Lock Picks —— ...

Django 1.5.4 版本发行说明 通过密码哈希器实现拒绝服务攻击 在 django.contrib.auth 的管理员界面中，修正了对 sensitive_post_parameters() 的使用 漏洞修复 Django 1.5.4 版本发行说明 2013 年 9 月 14 日 这是 Django 1.5.4，是 Djang...

Ftp.exe简介： 配置攻击机msf： 靶机执行： 注： 请多喝点热水或者凉白开，可预防肾结石，通风 等。痛风可伴发肥胖症、高血压病、糖尿病、脂代谢紊乱等多种代谢性疾病。 Ftp.exe简介： Ftp.exe是Windows本身自带的一个程序，属于微软FTP工具，提供基本的FTP访问。 说明： Ftp.exe所在路径已被系统添加PATH环境...

通过网络移动 建立环境——实验网络 通过网络移动 作为一名红队成员，我们希望尽可能安静地在网络中穿梭。我们希望使用“特征”来查找和利用有关网络、用户、服务等信息。通常，在红队活动中，我们不希望在内网环境中进行任何漏洞扫描相关的活动。有时我们甚至不希望对内部网络运行 nmap 扫描。这是因为许多公司已经非常擅长检测这些类型的扫描，特别是在运行漏洞扫描...