靶机：Al-Web-1.0 靶机下载地址：https://www.vulnhub.com/entry/ai-web-1,353/ 虚拟机环境：桥接模式（保证在同一个网段方便扫描） 靶机搭建方式：下载好的靶场是一个压缩包，解压后直接用Vmware就能导入，导入后将网络连接方式改外桥接 靶机IP：192 ...

各种类型的无线通信技术支持设备在没有线缆连接的情况下，实现设备与设备之间或者是设备和串口服务器之间的数据通信，都是通过各种协议条件下进行的。目前有很多不同类型的无线通信技术在物联网（IoT）和设备到设备（M2M）通信领域的硬件产品中得到广泛应用。 ...

0X01 前言 转载请标明来源：https://www.cnblogs.com/huim/ 当项目功能逐渐成熟，同时需要实现的是运营流程和指标体系建设。需要工程化的功能逐渐少了，剩下的主要工作转变成持续运营以及功能迭代优化。 个人认为，项目应该以运营为目的推动工程化。至少，安全和开发的需求五五开，分 ...

0X01 前言 转载请标明来源：https://www.cnblogs.com/huim/ 本身需要对外有良好的服务能力，对内流程透明，有日志、问题排查简便。 这里的服务能力指的是系统层面的服务，将扫描器封装成提供给业务的业务服务能力不在该篇讲述范围内 0X02 简单的扫描 高端的漏洞往往用最朴实的 ...

渗透测试交付流程渗透测试流程图：Penetration Testing List 序列号测试漏洞是否安全54后台路径泄露55post 注入56数据库备份 getwebshell57配置文件写入木马58任意文件上传漏洞59万能密码登陆60开源编辑器、插件漏洞61后台越权访问62暴力破解管理员账号63C ...

应用程序已经成为网络黑客想要渗透到企业内部的绝佳目标。 因为他们知道如果能发现并利用应用程序的漏洞，他们就有超过三分之一的机会成功入侵。 更重要的是，发现应用程序漏洞的可能性也很大。 Contrast Security 调查显示， 90%的应用程序在开发和质量保证阶段没有进行漏洞测试，甚至相当一部分 ...

0X01 前言 大多数安全产品的大致框架 提高性能的目的是消费跟得上生产，不至于堆积，留有余力应对突增的流量，可以从以下几个方面考虑 流量：减少无效流量 规则：减少规则冗余请求 生产者：减少无效扫描任务 引擎：灵活扩缩容的分布式引擎节点 0X02 减少无效流量 2.1 URL 2.1.1 去重——去 ...

之前的文章中，我们了解了 SAST 和 DAST，本文将介绍将两者优势相结合的安全测试技术——IAST。 ✦ ✦ 交互式应用安全测试（IAST）是一个自动识别和诊断应用程序和 API 漏洞的技术，它结合了 SAST 和 DAST 的优势，可以从应用内部持续监测漏洞。 在整个开发生命周期中，IAST通 ...

在开发过程中如何查找开源软件包中的漏洞并学习如何修复？本指南带你一起了解使用 SCA 工具时的最佳实践。 ...

线模块即是通过无线电信号来传输数据的软硬件模组，串口模块即是使用串口通信协议来传输数据的软硬件模组，那么无线串口模块也就是使用串口协议来进行无线电通信的软硬件模组。 ...

是决定一个无线模块不仅仅是距离这项参数，更多的是性能，以及在不同使用环境下的不同应用。所以不管是对于E19系列还是E10系列，都有其必要的使用环境，可根据项目的需求来选择不同系列的模块。 ...

0X01 前言 怎么衡量一个扫描器的好坏，扫描覆盖率高、扫描快、扫描过程安全 而最直接的效果就是扫描覆盖率高（扫的全） 怎么扫描全面，1 流量全面 2 规则漏报低 流量方面上篇已经讲过，这篇主要讲扫描规则。 扫描规则漏报率低，从整体考虑，一方面是规则全，广度上有保证；一方面是检测手段有深度，可以跨能 ...

##Apache APISIX 默认密钥漏洞（CVE-2020-13945）复现 ###一、 实验所需环境 ####1、Ubuntu ####2、vulhub ####3、apisix/CVE-2020-13945 ###二、 漏洞介绍 Apache APISIX是一个高性能API网关。在用户未指定 ...

中控室与PLC控制柜之间一般都有较远的距离，使用数传电台可以减少布线和后期故障查询的时间成本和施工成本，同时也能方便后期功能拓展。除此之外还具有以下优点。 ...

扫描器已经接触了三年，目前比较成熟，在这个方向里，遇到过很多问题，各种方案或多或少接触过。大多数安全产品都可以用流量+规则+引擎+处置来抽象框架，DAST也是这样。而功能，用目的划分，个人拙见主要5个：流量全、规则全、引擎高性能高可用、扫描无害化、运营高效化。这个系列主要是对应功能的描述。 DAST ...

0x00: 前言 Base64编码的作用： 将一些特殊的字符转换成常见的字符。特殊的字符可能是不可见字符或者是大于ascii码127的，将其变成常见的字符（在base64中为a~z A~Z 0~9 + /）。 Base64特别适合在某些网络协议下快速传输。 在学习Base64隐写之前，得先熟悉Bas ...

编译丨张泷玲、杨柳 编辑丨维克多 今年1月份，苏黎世联邦理工学院的Stefan Feuerriegelc教授在 《Communications of the ACM》期刊上刊文“Artificial Intelligence Across Company Borders”，在文中教授指出了人工智能（ ...

该帖子内容为初级渗透测试注入，只为验证Web系统安全,所写内容为个人平时课程学习所得，为正常互联网产品测试内容。虽然是初级内容，也不可未经系统所属主体或组织允许，应用该帖内容；若某人不合理应用本帖子内容所造成损失，与本帖子作者无关，不负责任何法律责任；同时毕竟作者作为初学者，不可避免有些写错的地方，... ...

一·何为条件竞争 现代框架更能抵御此类攻击。他们通常不会将文件直接上传到文件系统上的预期目的地。相反，他们采取了预防措施，例如首先上传到临时的沙盒目录并随机命名以避免覆盖现有文件。然后，他们对这个临时文件执行验证，只有在认为安全的情况下才将其传输到目的地。也就是说，开发人员有时会独立于任何框架来实现 ...

一·什么是服务器配置文件.htaccess 许多服务器还允许开发人员在各个目录中创建特殊的配置文件，以便覆盖或添加一个或多个全局设置。例如，Apache 服务器将从一个名为（.htaccess如果存在）的文件中加载 特定于目录的配置。Web 服务器使用这些类型的配置文件，但通常不允许您使用 HTTP ...