概览 本文你将看到： 基于 HTTP 的前端鉴权背景cookie 为什么是最方便的存储方案，有哪些操作 cookie 的方式session 方案是如何实现的，存在哪些问题token 方案是如何实现的，如何进行编码和防...

启动挑战项目，发现前端界面显示Black list is so weak for you,isn’t it 随便输入几个关键词试试：select，他爆出来所有的黑名单关键词，本来还想fuzz跑一下的 return preg_match('/set|prepa...

BUUCTF：[第一章 web入门]常见的搜集 比起那些需要技巧的ctf赛题，还是感觉这种信息收集吸引人 寻找有用的信息 首先看了一下源码貌似没发现什么有价值的东西然后顾名思义估计是要在站点的路径中...

背景 本项目为 狼组信息化平台 功能项目，该项目开源 程序主要对百度爱企查 API和接口进行封装可获取 企业基本信息（法人、电话、公司地址等等） 企业ICP备案号以及网站 企业APP...

[极客大挑战 2019]Upload 题目打开是一个文件上次功能点 首次常规操作二话不说先上传一个一句话木马。 <?php @eval($_POST['123'])?> 页面提示被拦截，并显示not image 那我们进行抓包修...

读题 sql注入题，而且直接告诉你flag在表flag中的flag字段。让你提交查询id 查询1和2会有回显，输入其它数值都会提示错误。抓包跑一下字典看一下过滤的内容（学到的新技能，原来bp的intruder还...

注意：俩个server服务要相对独立，这样就可以同时将服务1和服务2的端口映射到80端口了 server { listen 80; server_name xx.cn; #域名1 location / { proxy_pass http://x.x.x.x:9001; #域名1需...

相信建站的朋友都十分关心网站速度问题了，子比主题一直在强调极速优化这次词语，同时在之前的很多文章中我也简单的介绍了子比主题的关于速度优化的一些原理。理论上来讲使用子比主题搭配一个不...

换手机号对于大家来说是一个“老大难”的问题，首先是不知道自己绑定了多少个网站，一个个去想太麻烦，今天就教大家两个查询手机绑定的小技巧。 方法一：reg007网站查询 如果你有电脑，可以打开...

Wireshark分析HTTPS流量 Kali Linux下使用Wireshark分析HTTPS流量 系统环境Kali-linux 5.9.0 软件版本Wireshark3.2.7 这里使用eth0网卡 可以看到有数据来源和去向以及具体数据包情况 数据包比较...

本文章向大家介绍渗透测试靶机 breach-1，主要包括渗透测试靶机 breach-1使用实例、应用技巧、基本知识点总结和需要注意事项，具有一定的参考价值，需要的朋友可以参考一下。 下载地址： 下载链...

搭建好WordPress网站之后我个人建议首先要做的就是设置好固定链接，WordPress的固定链接也就是网站各个页面的链接格式，默认的方式不太符合现代化网站，推荐使用自定义的方案。 既然涉及到网站...

打开可以看见是代码审计，我们看看代码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host']))...

题目 题目打开是这样的查看源码 <!--I've set up WAF to ensure security.--> <script> $('#calc').submit(function(){ $.ajax({ url:'calc.php?num='+encodeURIComponent($('#content')....

杂谈 今天下午收到热心网友的求助 这不是腾讯文档吗？现在的人钓鱼手段简直太邪恶了……用腾讯自家的产品在QQ上钓鱼，就很离谱啊！ 在线体验 下面的页面是仿真页面，请勿输入自己的密码，请勿花...

在绕过 WAF 的测试中，有很多的方法可以使用，以下列举 12 项常用方法： 大小写绕过；HTTP 协议覆盖绕过；注释符绕过；白名单 IP 绕过；编码绕过；真实 IP 绕过；分块传输绕过；Pipline 绕过；...