记一次绕过waf的文件上传

在某次渗透测试中，发现了一个通用上传的点，但经过测试发现，该网站存在waf，但是最终绕过waf，成功拿到shell

9
中铁13层打工人发布于 2023-11-22 10:00

0推荐

5395浏览

【Web实战】浅谈reactor netty httpclient请求解析过程

Reactor Netty HttpClient 是 Reactor Netty 框架提供的一个用于进行异步 HTTP 请求的客户端库。它基于 Reactor 框架，采用响应式编程模型，允许以非阻塞的方式执行 HTTP 请求和处理响应。浅谈其HTTP请求解析过程。

0
tkswifty 发布于 2023-11-21 10:00

17推荐

10750浏览

任意用户登录漏洞挖掘思路

任意用户登录漏洞以利用漏洞利用难度低、危害高、奖金高已经成为src/众测漏洞挖掘中的香饽饽，本文将分享一下众测/src中任意用户登录漏洞的挖掘思路。

33
中铁13层打工人发布于 2023-11-20 10:00

4推荐

8993浏览

【Web实战】阿里云手动接管云控制台（保姆级别教程不触发告警）

说到cli接管之前，首先得看明白阿里云官方文档，搞清楚具体流程和官方工具和api的调用方式，链接如下 https://next.api.aliyun.com/document/Ram/2015-05-01/overview

6
陌离sg009 发布于 2023-11-17 09:00

0推荐

4975浏览

【Web实战】浅谈Spring中的Controller参数的验证机制

在应用程序的业务逻辑中，数据校验是必须要考虑和面对的事情。应用程序必须通过某种手段保证输入进来的数据是安全可靠的。浅谈Spring中的Controller参数的验证机制。

0
tkswifty 发布于 2023-11-16 09:00

10推荐

6703浏览

【Web实战】记一次攻防实战绕过登录机制进入后台获取大量敏感数据

某省攻防实战。通过多层绕过。成功不要密码拿下一个后台。包括各个学校账号密码，等相关敏感信息。为后续打下坚实基础

12
Serein_V 发布于 2023-11-15 10:00

8推荐

9371浏览

【Web实战】钓鱼手法及木马免杀技巧

钓鱼是攻防对抗中一种常用的手段，攻击者通常伪装成可信任的实体，例如合法的机构、公司或个人，以引诱受害者揭示敏感信息或执行恶意操作，能快速地撕破目标的伤口，快速进内网进行刷分，投递木马同时需要考虑逃避杀毒软件检测，本篇文章将围绕一些常见的钓鱼手法和木马免杀对抗展开

16
hyyrent 发布于 2023-11-15 09:00

10推荐

23681浏览

随着移动互联网的快速发展和物联网设备的普及，API在应用开发中扮演着越来越关键的角色。几乎所有的APP、web网站、小程序、微服务都依赖API进行数据调用，因此与API相关的数据泄露事件也逐渐增多。Facebook 、Twitter、Amazon、美团等公司均发生过由于API未鉴权、鉴权不严格或其它漏洞而发生大量数据泄露事件。 API安全指的是确保应用程序接口的安全性，以防止未经授权的访问、数据泄露、篡改或其他恶意攻击。