将者，智、信、仁、勇、严也。

摘要： 逻辑漏洞破解手机验证码重置用户密码 from:https://www.xf1433.com/4275.html 找回用户密码几乎是每个网站都有的功能，漏洞点也非常多，功能开发起来容易，要做好安全的防御机制需要投入更多精力，比如小风教程网为了保护用户的绝对安全，就干脆把找回密码的功能去掉了，用户想找回 阅读全文

摘要： Tcpreplay是一种pcap包的重放工具, 它可以将tcpdump和Ethereal/Wireshark等工具捕捉到的网络流量包进行编辑修改和重放. 重写Layer 2、3、4层数据包，并将流量重新发送至目标网络, 这样通过重放网络流量包从而实现复现问题情景以定位bug tcpreplay本身包 阅读全文

摘要： Gopher 协议是 HTTP 协议出现之前，在 Internet 上常见且常用的一个协议。当然现在 Gopher 协议已经慢慢淡出历史。Gopher 协议可以做很多事情，特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache，也可 阅读全文

摘要： dict 协议初体验 多说无益，直接上一个用了 dict 协议的服务让你们来体验一下 首先在你的电脑上安装一个 telnet 客户端 Windows 和 Mac / Linux 上应该都有对应的客户端 安装好了以后用这个命令来登陆 由于编码原因，有些非英文字符在某些系统上可能会乱码 telnet d 阅读全文

摘要： 如何构造 HTTP 请求夹带漏洞 HTTP请求夹带漏洞出现的原因是因为HTTP规范提供了两种不同的方式来指定请求的结束位置：Content-Length标头和Transfer-Encoding标头。Content-Length标头很简单，它以字节为单位指定消息体的长度。 例如： POST /sear 阅读全文

摘要： 分块传输编码在WEB安全中的应用 from: https://www.zhihuifly.com/t/topic/1090 讲得非常清晰 分块传输编码在WEB安全中的应用 0x01 分块传输编码概念 维基百科对分块传输编码的描述： 分块传输编码（Chunked transfer encoding）是 阅读全文

摘要： 来自：https://blog.csdn.net/sojrs_sec/article/details/103368463，后面我会加单独的的分析。 以前搭建过好几次xunfeng，也看过几次他的源码，最近团队准备做巡风的二次开发，就要再好好看下他的源码了，我们知道巡风主要有两个功能，资产发现和漏洞扫 阅读全文

摘要： 致远OA文件上传漏洞预警1.漏洞描述致远OA是一套用于OA办公的自动化软件，该软件存在文件上传漏洞，攻击者能够上传恶意脚本文件，从而控制服务器。2.影响版本致远OAV8.0，V7.1，V7.1SP1，V7.0，V7.0SP1，V7.0SP2，V7.0SP3，V6.0，V6.1SP1，V6.1SP2， 阅读全文

摘要： WhatWeb是一个开源的网站指纹识别软件。 WhatWeb可识别Web技术，包括内容管理系统（CMS），博客平台，统计/分析包，Javascript库，服务器和嵌入式设备。 WhatWeb有超过1000个插件，每个插件都能识别不同的东西。WhatWeb还标识版本号，电子邮件地址，账户ID，Web框 阅读全文

摘要： nmap -A xx.xx.IP.xx Starting Nmap 7.91 ( https://nmap.org ) at 2021-08-18 10:13 CST Nmap scan report for 39.108.15.161 Host is up (0.075s latency). No 阅读全文