渗透测试 - 推荐的文章 - 奇安信攻防社区

记一次安服仔薅洞实战（lucky）

## # 记一次安服仔薅洞实战在一个阳光明媚的工作日，一位安服仔突然接受到了上级的任务，任务竟然是对整个区收集漏洞，数量要求还不是一般多，这可难倒了安服仔，安服仔本想着安安心心过（...

16
26
L1NG
发布于 2021-08-18 11:35:51
阅读 ( 6866 )

记一次小程序测试

一个简单的小程序渗透过程记录，大佬勿喷！

8
11
江南小虫虫
发布于 2021-12-20 09:34:56
阅读 ( 3815 )

记一次 bypass 前端验证 + 后端缺陷

有人找到我,搞攻防请求支援,当然这种请求那当然要逝世呀

6
11
yier
发布于 2021-06-23 15:18:48
阅读 ( 3361 )

大力出奇迹—从目录爆破到getshell

某日在做一个渗透测试项目，但是没有任何收获，这怎么能给领导交差呢？于是只能加班加点进行测试，终于在我大力出奇迹的干法下，拿到了一个shell。

6
9
苏苏的五彩棒
发布于 2022-04-12 09:41:38
阅读 ( 5945 )

又记一次安服仔薅洞实战-未授权之发现postgresql注入

距离上次文章又过去了小半年的时间，忙了小半年也没有什么优秀的东西分享就一直沉寂着，这次我带着实战干货又回来啦！这一次也是干公司的项目，是关于一个登录框的渗透测试，也不逼逼了开始渗透

11
8
L1NG
发布于 2022-03-07 09:55:23
阅读 ( 1982 )

浅谈微信小程序渗透

微信小程序渗透的经验分享

14
8
dota_st
发布于 2022-02-22 09:46:30
阅读 ( 3683 )

记一次堆叠注入拿shell的总结

菜鸡第一次实战中碰到mssql的堆叠注入，大佬们轻喷。

3
8
0r@nge
发布于 2021-08-27 15:13:53
阅读 ( 1303 )

挖掘0day打进不同学校

#写在前面下文的所有漏洞都是需要有学校统一门户的账号和密码的情况下才能挖掘出来的，不过我也有挖到个别特殊的学校个例，可以直接未授权访问那些目录页面造成危害。挖掘的案例均已提交至漏...

3
8
Johnson666
发布于 2021-08-13 10:02:21
阅读 ( 1540 )

缘起XSS之与某WAF的恩爱情仇

# 缘起XSS之与腾讯T-SEC WAF的恩爱情仇 ## 0x0 前言 &emsp;&emsp;在现在waf遍地的时代，在挖掘SRC的时候XSS类型的漏洞不免都得绕一番。不得不感叹，近几年的waf发展是越来越快了...

4
7
xq17
发布于 2021-07-29 14:49:13
阅读 ( 739 )

双记一次安服仔薅洞实战-前端JS的相爱相杀

哈喽everyone，我又双回来了，猴子点点的渗透测试工程师这次来分享一个关于前端JS渗透测试的实战教程，这一次也是干公司的项目，老样子还是一个登录框的渗透测试。前端JS通常会泄漏一些接口用于与后台服务器交互，时常会出现未授权或者越权等操作，这一次遇到一个很有意思的接口，下面进入正题吧

6
6
L1NG
发布于 2022-04-02 11:17:26
阅读 ( 1833 )

实战绕过某WAF+拿shell组合拳

4
6
ruirui
发布于 2021-12-23 09:38:55
阅读 ( 2130 )

完整的渗透实例--全面了解渗透技术

# 完整的渗透实例--全面了解渗透技术 ## 写在前面在我们学习安全时，常常会一直停留在某一方面，甚至不知道自己接下来要学什么，而提前了解我们整个渗透需要掌握的技术显得至关重要，这样我...

9
6
Honeypot
发布于 2021-08-19 11:05:37
阅读 ( 1339 )

某攻防演练案例分享

# 写在前头此次案列为某地方攻防演练的一个案例，目的分享一下笔者自己的渗透思路，不介绍过多的漏洞知识和其他实现原理，同时里面涉及的内容比较敏感，所以打码可能比较多。影响各位读者体验...

1
5
奇安信攻防社区
发布于 2022-01-17 11:18:47
阅读 ( 1351 )

新型网络犯罪攻防技术研究

大家好，我是风起。本次带来的是对于新型网络犯罪的渗透研究，区别于常规的渗透测试任务，针对该类站点主要核心不在于找出尽可能多的安全隐患，更多的聚焦于 **数据** 这个概念。值得注意的是，这里的数据更多时候指的是：**代理身份**、**后台管理员身份**、**受害人信息**、**后台数据**、 **消费凭证** 等信息。总的来说，一切的数据提取都是为了更好的落实团伙人员的身份信息。