广陌道人

摘要： 这个世界从来没有绝对安全的系统，只能保证一个时间段或是一个技术下的安全，防的在好，某些安全技术在未来也有可能有致命漏洞。那么，在自己有限精力范围内选择一个可行方案，自己能做的只有加强安全检测和防护，以及数据备份。因为，所有方案都是在投入的时间精力（成本）和安全性之间做平衡。 ***人的生命是有限的， 阅读全文

摘要： 根据过往Electron框架应用的安全测试心得整理，从Dom-XSS到RCE 阅读全文

摘要： 网站用的是https抓包是明文传输，为什么能看到https报文的明文？https其实就是 http + SSL/TLS 两种协议的合体。http协议是应用层协议，而SSL/TLS是传输层协议。 阅读全文

摘要： Web安全中的常见Session攻击的作用原理 阅读全文

摘要： 背景概述 Spring的生态很优秀，而使用Spring Boot的开发者也比较多。 Actuator是Spring Boot提供的对应用系统的监控和管理的集成功能，可以查看应用配置的详细信息，例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。在 阅读全文

摘要： Android7及以上版本，系统更改了信任用户安装证书的默认行为，默认不信任用户证书，这会导致我们手动生成的BurpSuite证书，已不能拦截App的请求，所以需要自定义BurpSuite证书为安卓系统级CA证书，以方便抓取HTTPS包 阅读全文

摘要： 利用Burp+Xray，配置多层代理，提高挖洞效率 阅读全文

摘要： ch4inrulz是vulnhub下的基于Linux的一个靶场，此次作为练习之用，记录下过程，文章是后写的，所以没截图 阅读全文

摘要： 解决BurpSuite安装后，无法在Render(重发器)模块下看到页面预览，提示embedded browser initialisation failed(嵌入式浏览器初始化失败） 阅读全文

摘要： Linux中文件权限和目录权限的区别 阅读全文