一月份文章收藏

 

一些写得很不错的文章，不定时更新。

链接失效请复制标题在搜索引擎中寻找相关文章，一般情况下都会找到的。

 

 

一月收藏文章：

渗透测试中常见的端口

快速开启nginx日志记录post参数[特殊作用]

Linux渗透测试

新手福利 | Burpsuite你可能不知道的技巧

在Mac使用Burp Suite抓取Https 包内容听语音

XML External Entity attack/XXE攻击

手把手教你制作漏洞复现环境

mysql拿webshell总结

【奇技淫巧】破解远程终端凭据，获取服务器密码

安全从业人员常用工具指引

sqler的个人空间

某厂2016实习招聘安全技术试题答案及解析

投稿文章：MSF端口渗透备忘录

Web-Security-Learning学习资料

Weblogic(CVE-2017-10271)漏洞复现

利用DNSlog回显Weblogic(CVE-2017-10271) 漏洞执行命令结果

Redis 未授权访问漏洞（附Python脚本）

鸡肋点搭配ClickJacking攻击-获取管理员权限

技术分享——SSH端口转发篇

mysql无逗号的注入技巧

[原创]运维安全隐患

说下我是怎么绕过URL限制的吧

Linux SSH密码暴力破解技术及攻防实战

对某开源免费电商公司网站的渗透

佛系工具：如果我应该被知道，那就会被知道

渗透测试案例之使用”组合拳”突破防火墙限制

命令注入之Web应用防火墙绕过技巧

挖掘铠甲后的目标–逆向CDN的各种方式总结(干货,附解决方案)

文件寄生——寻找宿主的不归路(NTFS文件流实际应用)

 

 

Python:

简约而不简单的 Django 新手图文教程

深刻理解Python中的元类(metaclass)

黑客你好，请使用Python编写一个渗透测试探测器

小白科普：Python代码是编译执行还是解释执行？

什么时候使用 namedtuple

Python手把手教你打造自己的多线程批量工具

Python编写的开源Struts2全版本漏洞检测工具

谈一谈如何在Python开发中拒绝SSRF漏洞

 

 

逻辑漏洞：

逻辑漏洞之越权访问

挖洞技巧：绕过短信&邮箱轰炸限制以及后续

 

 

代码审计/漏洞分析:

[原创][投稿]dedecms前台修改任意用户密码漏洞分析

 

SSRF:

王松_Striker-《内网渗透中“进击的巨人”——SSRF》

SSRF漏洞的挖掘经验

 

 

SRC/逻辑漏洞相关：

[SRC初探]手持新手卡挖SRC逻辑漏洞心得分享

SRC的漏洞分析【分享自己挖洞的经验】

SRC漏洞挖掘小见解

旅交汇登录处图验可绕过，已有成功撞库案例

YSRC挖洞纪实-洞是靠"细心"挖的

token安全之任意密码重置

新手初探SRC的一些总结

 

 

CSRF:

“借刀杀人”之CSRF拿下盗图狗后台

[Onls丶辜釉渗透日常]花式实战助你理解CSRF

各大SRC中的CSRF技巧

 

 

SQL注入：

SQLMAP源码分析Part1:流程篇

SQL注入的常规思路及奇葩技巧

sql盲注之报错注入(附自动化脚本) 

移位溢注技术详析

sql注入大全

 

 

XSS:

新办法绕过xss过滤-让xss来的更猛烈些吧

照猫画虎实现 XSS 注入的经历

XSS的原理分析与解剖

搜狐视频储存型XSS（过滤了尖括号/圆括号/单引号等字符下的利用技巧）

Black-Hole Freebuf个人空间

DOM型XSS实战分析

经验分享 | XSS手工利用方式

 

 

小工具：

nosec.org

Google Hack快速生成小工具

XSS平台

ngrok内网转发

微步在线情报社区

Seebug照妖镜

FOFA Pro - 网络空间搜索引擎

Heartbleed漏洞在线检测工具

hackbar-for-firefox-57

webscan.cc

xss poc大全

 

 

漏洞库：

https://www.exploit-db.com/

https://cn.0day.today

http://sec.jetlib.com/

WPScan Vulnerability Database

 

 

PHP:

什么是魔术引号

htmlspecialchars — 将特殊字符转换为 HTML 实体
addslashes — 使用反斜线引用字符串

浅析php后门木马