摘要:
这个世界从来没有绝对安全的系统,只能保证一个时间段或是一个技术下的安全,防的在好,某些安全技术在未来也有可能有致命漏洞。那么,在自己有限精力范围内选择一个可行方案,自己能做的只有加强安全检测和防护,以及数据备份。因为,所有方案都是在投入的时间精力(成本)和安全性之间做平衡。 ***人的生命是有限的, 阅读全文
摘要:
根据过往Electron框架应用的安全测试心得整理,从Dom-XSS到RCE 阅读全文
摘要:
网站用的是https抓包是明文传输,为什么能看到https报文的明文?https其实就是 http + SSL/TLS 两种协议的合体。http协议是应用层协议,而SSL/TLS是传输层协议。 阅读全文
摘要:
Web安全中的常见Session攻击的作用原理 阅读全文
摘要:
背景概述 Spring的生态很优秀,而使用Spring Boot的开发者也比较多。 Actuator是Spring Boot提供的对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。在 阅读全文
摘要:
Android7及以上版本,系统更改了信任用户安装证书的默认行为,默认不信任用户证书,这会导致我们手动生成的BurpSuite证书,已不能拦截App的请求,所以需要自定义BurpSuite证书为安卓系统级CA证书,以方便抓取HTTPS包 阅读全文
摘要:
利用Burp+Xray,配置多层代理,提高挖洞效率 阅读全文
摘要:
ch4inrulz是vulnhub下的基于Linux的一个靶场,此次作为练习之用,记录下过程,文章是后写的,所以没截图 阅读全文
摘要:
解决BurpSuite安装后,无法在Render(重发器)模块下看到页面预览,提示embedded browser initialisation failed(嵌入式浏览器初始化失败) 阅读全文
摘要:
Linux中文件权限和目录权限的区别 阅读全文