注： 请多喝点热水或者凉白开，可预防肾结石，通风 等。痛风可伴发肥胖症、高血压病、糖尿病、脂代谢紊乱等多种代谢性疾病。 portfwd是一款强大的端口转发工具，支持TCP，UDP，支持IPV4—IPV6的转换转发。并且内置于meterpreter。其中exe单版本源码如下： https://github.com/rssnsj/portfwd 攻击机...

前端安全规范 背景知识 XSS防御 富文本数据 CSRF Cookie使用 防钓鱼 隐私数据 页面跳转 第三方功能和资源 点击劫持 Flash 使用 上传文件 JSON/JSONP协议 Cross Domain 设置 参考资料 前端安全规范 本文档描述前端开发人员在应用开发中，需要关注的安全问题和相应的编码规范，旨在杜绝...

RASP技术 什么是RASP技术? RASP简介 灵蜥Agent与传统WAF的区别 灵蜥Agent独特防御功能 Agent 缺陷 RASP技术 什么是RASP技术? 最近三五年RASP技术已日渐被人们所接收，国内的各大安全厂商也在不断的完善自身产品。RASP技术触及到了应用程序的底层实现，如何实现一款高稳定性和高可用的RASP产品也就...

10.14. 代码注入和输入验证 10.14. 代码注入和输入验证 代码注入攻击当程序使用的输入或其他外部变量未清洗而导致对程序逻辑的修改时发生。 这可能允许攻击者对应用程序的设备或它的数据的访问权限，导致服务拒绝或引入许多的恶意副作用。 授权服务器和客户端必须清洗（并在可能的情况下验证）收到的任何值—特别是，“state”和“redirect_u...

上下文编码Contextual Escaping HTML 编码Escaping HTML HTML 属性编码Escaping HTML Attributes URL 编码（Escaping URLs）Escaping URLs CSS 编码Escaping CSS Javascript 编码Escaping Javascript 上下文编...

系统架构 - Java 版本 简要说明 启动流程 Hook Class 流程 请求处理流程 基线检测 系统架构 - Java 版本 简要说明 java 版本使用 javaagent 机制来实现。在服务器启动时，可动态的修改Java字节码，对敏感操作的函数进行挂钩，比如: 数据库操作 文件读取、写入操作 命令执行 … 当服务器发生攻...

检测能力说明（持续更新 ..） OWASP TOP 10 覆盖说明 OpenRASP 零规则检测算法介绍 覆盖场景说明 1. 数据库: SQL注入 2. 数据库: 慢查询（已废弃） 3. 任意文件上传 4. 敏感文件下载、任意文件读取 5. 文件目录列出 6. 扫描器探测行为 [官方插件不支持] 7. CSRF [暂无计划支持] 8. Co...

五、HTML 注入 描述 示例 1. Coinbase 评论 2. HackerOne 无意识 HTML 包含 3. WithinSecurity 内容伪造 总结 五、HTML 注入 作者：Peter Yaworski 译者：飞龙 协议：CC BY-NC-SA 4.0 描述 超文本标记语言（HTML）注入有时也被称为虚...

9.7 攻击路由器 9.7 攻击路由器 前面介绍的各种工具，都是通过直接破解密码，来连接到无线网络。由于在一个无线网络环境的所有设备中，路由器是最重要的设备之一。通常用户为了保护路由器的安全，通常会设置一个比较复杂的密码。甚至一些用户可能会使用路由器的默认用户名和密码。但是，路由器本身就存在一些漏洞。如果用户觉得对复杂的密码着手可能不太容易。这时候，...

其他配置选项 通用配置 插件相关 文件日志相关 syslog 日志相关 拦截相关 其他配置 PHP 版本独立配置 Java 版本独立配置 hooks.ignore 全部可选值 其他配置选项 通用配置 以下配置支持云端下发，也支持单机修改。若开启远程管理，单机配置不会加载；如果没有开启，Java 版本单机配置修改后立即生效，PHP...