Yaseng

摘要： HSTS是HTTP Strict Transport Security的缩写，即："HTTP严格安全传输"。当浏览器第一次访问一个HSTS站点,会跳转到https页面,并种植hsts,下次再访问此站时,只要HSTS 还在有效期中,浏览器就会响应一个 HTTP 307 头,在不经过网络请求直接本地强制http跳转到https。这样可以有效防止基于SSLStrip的中间人攻击,对于伪造的证书，会显示错误，并且不允许用户忽略警告。 一个hsts 站点响应的例子: 阅读全文

摘要： 对于很多用discuz做资源下载站来说,一个个上传附件,发帖是很繁琐的过程。如果需要批量上传附件发帖,就需要去模拟discuz 上传附件的流程。 插件地址 http://addon.discuz.com/?@uauc_auto_thread.plugin 阅读全文

摘要： 最新版本的Firefox 终于舍弃了鸡肋的xul布局,可以使用原生的html用作ui交互,插件界面中可以引入 bootstrap jQuery等库,大大简便了布局和高度自定义化,本文以一个随机自定义referer 实例来记录jpm 高级ui交互编程。 ## 界面布局 ### ui 控件 官方api中提供的ui控件如下 1. ActionButton 动作按钮 2. ToggleButton 切换按钮 3. Frame 框架 4. Toolbar 工具栏 5. Sidebar 网站边栏 具体可以参考官方文档 https://developer.mozilla.org/en-US/Add-ons/SDK/High-Level_APIs/ui 阅读全文

摘要： 基于zmap 的应用层扫描器 zgrab (一) ## 介绍 zgrab 是基于zmap无状态扫描的应用层扫描器,可以自定义数据包,以及ip,domain之间的关联。可用于快速指纹识别爆破等场景。 ## 安装 * go环境 * zgrab ```bash go get github.com/zmap/zgrab cd $GOPATH/src/github.com/zmap/zgrab go build ``` 阅读全文

摘要： 记录一些排查常见日志的命令,方法wiki,欢迎补充 。 https://github.com/yaseng/pentest/blob/master/note/audit-log.md 阅读全文

摘要： 《安全参考》HACKCTO-201312-12 来了 这一期不仅保留了c0deplay团队的“代码审计”专栏，还给大家带专门带来了各种xday的代码审计哦！ 不仅有丰富多彩的常规渗透技巧，还有功能强大的渗透测试环境，以及经典的CMS渗透技巧。 还增加了大家向往的黑客编程技巧，逆向工程，以及WAF绕过的各种技巧等，精彩内容，不容错过~ 阅读全文

摘要： xss 刷票的 经典案例 阅读全文

摘要： 这一期保留了c0deplay团队的“代码审计”专栏，增加了前端安全专栏，蜜罐部署专题（连载）等精彩内容，感兴趣的童鞋一定要看哦~ 还有丰富多彩的常规渗透技巧，经典的后门与Rootkit，以及WAF绕过的各种技巧等，精彩内容，不容错过~ 大家赶快来围观，让更多的小伙伴们惊呆吧！ 阅读全文

摘要： /** * @desc A simple and convenient php sqlsrv class * @author Yaseng WwW.Yaseng.Me [Yaseng@UAUC.NET] * @link http://yaseng.me/sqlsrv-class.html */ 阅读全文

摘要： 阅读全文