短链接安全浅谈

短网址的初衷是在微博这种限制字数的公共平台使用,也就是说它基本是公开的,但是后续在个人短信和邮件之中,其实有部分已经是私密的。 这直接引发了短网址第一个比较大的潜在风险。* 本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。前言何谓短

Cobalt Strike 保姆级教程

自 2020 年 4 月份至 2020 年 10 月份,笔者更新了自己在学习 Cobalt Strike 过程中的 28 篇笔记,并将笔记同步更新到了自己的公众号、博客、CSDN、知乎、简书等平台,特在此整理成合集发布出来。 自 2020 年 4 月份至 2020 年 10 月份,笔者更新了自己在学习

玩客云手动阉割:解决硬盘 .img 大文件占用问题

不知道手头有玩客云的小伙伴,有没有发现,你的玩客云上的硬盘,总是莫名其妙的空间被占用完了,明明设置的一小部分的共享空间。而且通过电脑查看硬盘,会发现硬盘里有大量的.img的文件,就像这样子 这是因为玩客云的挖矿缓存属于系统文件,默认是隐藏的。如果 2 个 USB 都插上了硬盘,正常情况下即使你设置了主副盘

Burp suite 过滤某些请求,只保留关注的请求

场景发生如下: 我需要抓包某个 app 分析具体的参数和请求,但是该 app 类似于股票那种,会不停的发起非常多的请求显示 k 线,我想要抓包的请求没法很好的分析,浪费很多时间,于是,借助 burp 的范围功能,进行了过滤。记录一下解决方案。 目标:抓取手动点击的请求,过滤自动发起的请求。 一、设置域名范围

安全架构评审实战

志刚(返町),现任美团安全部安全架构师。曾在国内外知名大型互联网公司出任安全专家、架构师等职。在应用系统安全架构评审以及安全方案设计和实施领域拥有丰富的经验。综述确定一个应用的安全状况,最直接的方法就是安全评审。安全评审可以帮我们发现应用系统中的安全漏洞,也能了解当前系统,乃至整个防护体系中的不足。

zip炸弹和跨目录zip文件的构造

前言 在对可上传 zip 文件的上传点进行测试时,除了一般的上传漏洞,我们也要关注其后台代码对 zip 文件解压后的大小和跨目录解压问题的检查。博主在本文中将介绍测试上述两种问题所用到的 zip 文件如何构造。 什么是 zip 炸弹 zip 炸弹就是一个高压缩比的 zip 文件,它本身可能只有几 M 或几十

token、加密、签名三者对比与区别

在之前的工作中,总是接触到这些概念,之前都是零散的理解,在此总结下,以方便以后查阅一、token 在网站、app 与服务器交互的过程中,很多时候为了:1、避免用户多次输入密码2、实现自动登陆3、避免在终端直接存储用户的密码4、标示客户端的请求是否合法5、其他(暂时没想到)我们需要引入 tok

上一页 第 2 页 / 共 18 页 下一页