随笔分类 -  渗透测试

web安全测试3-注入(完整名请用base64解码):c2VjNTQyIFdFQiBBUFAgUEVORVRSQVRJT04gVEVTVElORyAmIEVUSElDQUwgSEFDS0lORw==
摘要:注入 保护 Cookie Secure;HttpOnly;SameSite 用户的浏览器、地理位置 IP 地址等信息:一些应用程序收集分析这些信息,会在同一会话期间检测浏览器属性的变化,并要求用户重新登录 HttpOnly:适用于包含JavaScript之外的所有客户端语言 SameSite:用于控 阅读全文
posted @ 2026-04-05 15:38 sec875 阅读(13) 评论(0) 推荐(0)
web安全测试2-内容发现-身份认证-会话管理(完整名请用base64解码):c2VjNTQyIFdFQiBBUFAgUEVORVRSQVRJT04gVEVTVElORyAmIEVUSElDQUwgSEFDS0lORw==
摘要:内容发现-身份认证-会话管理 日志记录和监控不足 网络服务器 数据库服务器 身份认证系统 Web 应用程序防火墙(WAF)和负载均衡器 Web 应用程序本身日志 与安全相关:身份认证失败和成功;使用敏感功能或访问敏感数据;服务器端输入验证错误消息 集中式日志 安全信息和事件管理 (SIEM) 产品 阅读全文
posted @ 2026-04-01 00:24 sec875 阅读(10) 评论(0) 推荐(0)
web安全测试1-信息收集(完整名请用base64解码):c2VjNTQyIFdFQiBBUFAgUEVORVRSQVRJT04gVEVTVElORyAmIEVUSElDQUwgSEFDS0lORw==
摘要:美国NIST 国家漏洞数据库 https://nvd.nist.gov/ Offensive Security 维护漏洞库 https://www.exploit-db.com/ 信息收集 威胁建模:https://github.com/OWASP/wstg/blob/master/document 阅读全文
posted @ 2026-03-25 22:22 sec875 阅读(31) 评论(0) 推荐(0)
【黑帽大会】从提示到Pwns:利用与保护AI代理
摘要:https://blackhat.com/us-25/briefings/schedule/#from-prompts-to-pwns-exploiting-and-securing-ai-agents-46681 人工智能攻击的最终目标 • 对手必须能够将他们的数据(有效载荷)传递给模型。 • 他 阅读全文
posted @ 2026-03-12 22:04 sec875 阅读(11) 评论(0) 推荐(0)
DDOS 科普与防御
摘要:没有ddos演示,自己一把梭 ddos tools进行防御功能的有效性验证。 参考资料:all about ddos attacks: Become a DDos Guru 要小心“自我加冕的原创”,99%都是水货。你会发现叔很少“原创”,基本上会告诉你“数据源”或“底层思维”。 关于恐龙名词的定义 阅读全文
posted @ 2025-11-18 22:24 sec875 阅读(37) 评论(0) 推荐(0)
tryhackme - 导言
摘要:官网:https://tryhackme.com/ 类似hackthebox的CTF风格黑客靶场(但区别于zseano提供的真是SRC风格(https://www.bugbountyhunter.com, hackerone TOP10,亚马逊连续7年百万赏猎)现网对于他的测评还是过于保守,怎么信任 阅读全文
posted @ 2025-08-17 16:38 sec875 阅读(176) 评论(0) 推荐(0)