赛题类型 Web、Crypto、Pwn、Reverse、Misc 各是指什么意思？ 一般我们在参加一些”网络安全技能大赛 “的时候，都会出现“Web、Crypto、Pwn、Reverse 、Misc” 这五种赛题类型，往往很多新手都不清楚各是什么意思？代表了哪些方向？ 今天就简单的给大家说说，具体如下： W

场景发生如下： 我需要抓包某个 app 分析具体的参数和请求，但是该 app 类似于股票那种，会不停的发起非常多的请求显示 k 线，我想要抓包的请求没法很好的分析，浪费很多时间，于是，借助 burp 的范围功能，进行了过滤。记录一下解决方案。 目标：抓取手动点击的请求，过滤自动发起的请求。 一、设置域名范围

在 Web 渗透测试过程中，BurpSuite 是不可或缺的神器之一。BurpSuite 的核心是代理 Proxy，通常情况下使用 BurpSuite 的套路是：浏览器设置 BurpSuite 代理——> 访问 Web 应用程序——>BurpSuite 抓包分析。本人从事 Web 渗透测试尚不足

志刚（返町），现任美团安全部安全架构师。曾在国内外知名大型互联网公司出任安全专家、架构师等职。在应用系统安全架构评审以及安全方案设计和实施领域拥有丰富的经验。综述确定一个应用的安全状况，最直接的方法就是安全评审。安全评审可以帮我们发现应用系统中的安全漏洞，也能了解当前系统，乃至整个防护体系中的不足。

前言 在对可上传 zip 文件的上传点进行测试时，除了一般的上传漏洞，我们也要关注其后台代码对 zip 文件解压后的大小和跨目录解压问题的检查。博主在本文中将介绍测试上述两种问题所用到的 zip 文件如何构造。 什么是 zip 炸弹 zip 炸弹就是一个高压缩比的 zip 文件，它本身可能只有几 M 或几十

在之前的工作中，总是接触到这些概念，之前都是零散的理解，在此总结下，以方便以后查阅一、token 在网站、app 与服务器交互的过程中，很多时候为了：1、避免用户多次输入密码2、实现自动登陆3、避免在终端直接存储用户的密码4、标示客户端的请求是否合法5、其他（暂时没想到）我们需要引入 tok

一、简介 当公司所有主机加入到域后，SA 首要工作就是防止加入域的主机脱离域的控制。让我发现该工作的必要性是一程序猿，前一天刚配完禁止执行 QQ、微信执行，第二天就看到那家伙在用微信聊天，肯定是用回旧的本地账号登陆了。 本人所在公司安装软件的类型繁杂，无管理员权限运行不少软件会报错，不得不授予「域账号」本地

一、什么是威胁建模 简单的来说，威胁建模就是通过结构化的方法，系统的识别、评估产品的安全风险和威胁，并针对这些风险、威胁制定消减措施的一个过程。威胁建模是一个非常有用的工具，它的核心是「像攻击者一样思考」。威胁建模可以在产品设计阶段、架构评审阶段或者产品运行时开展，强迫我们站在攻击者的角度去评估产品的

原则 1：最小化攻击面：系统每增加一个功能特性就有可能会引入新的风险，通过安全开发可以减少攻击面进而达到控制系统整体风险的目的。打个比方说，某在线 web 应用向用户提供了一个通过搜索来获取帮助的功能，如果后端代码没有正确实现该功能就有可能导致存在 SQL 注入漏洞，但是即便如此，我们还是有办法降低或消