摘要: 这个世界从来没有绝对安全的系统,只能保证一个时间段或是一个技术下的安全,防的在好,某些安全技术在未来也有可能有致命漏洞。那么,在自己有限精力范围内选择一个可行方案,自己能做的只有加强安全检测和防护,以及数据备份。因为,所有方案都是在投入的时间精力(成本)和安全性之间做平衡。 ***人的生命是有限的, 阅读全文
posted @ 2023-07-10 16:47 广陌道人 阅读(4) 评论(0) 推荐(0) 编辑
摘要: 根据过往Electron框架应用的安全测试心得整理,从Dom-XSS到RCE 阅读全文
posted @ 2022-04-12 17:12 广陌道人 阅读(703) 评论(0) 推荐(0) 编辑
摘要: 网站用的是https抓包是明文传输,为什么能看到https报文的明文?https其实就是 http + SSL/TLS 两种协议的合体。http协议是应用层协议,而SSL/TLS是传输层协议。 阅读全文
posted @ 2022-02-13 23:24 广陌道人 阅读(1483) 评论(0) 推荐(0) 编辑
摘要: Web安全中的常见Session攻击的作用原理 阅读全文
posted @ 2022-02-13 23:15 广陌道人 阅读(17) 评论(0) 推荐(0) 编辑
摘要: 背景概述 Spring的生态很优秀,而使用Spring Boot的开发者也比较多。 Actuator是Spring Boot提供的对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。在 阅读全文
posted @ 2022-02-13 22:18 广陌道人 阅读(5714) 评论(0) 推荐(1) 编辑
摘要: Android7及以上版本,系统更改了信任用户安装证书的默认行为,默认不信任用户证书,这会导致我们手动生成的BurpSuite证书,已不能拦截App的请求,所以需要自定义BurpSuite证书为安卓系统级CA证书,以方便抓取HTTPS包 阅读全文
posted @ 2021-11-17 11:00 广陌道人 阅读(1389) 评论(0) 推荐(0) 编辑
摘要: 利用Burp+Xray,配置多层代理,提高挖洞效率 阅读全文
posted @ 2021-10-27 22:03 广陌道人 阅读(779) 评论(0) 推荐(0) 编辑
摘要: ch4inrulz是vulnhub下的基于Linux的一个靶场,此次作为练习之用,记录下过程,文章是后写的,所以没截图 阅读全文
posted @ 2021-09-05 22:29 广陌道人 阅读(1147) 评论(0) 推荐(0) 编辑
摘要: 解决BurpSuite安装后,无法在Render(重发器)模块下看到页面预览,提示embedded browser initialisation failed(嵌入式浏览器初始化失败) 阅读全文
posted @ 2021-07-03 14:15 广陌道人 阅读(3392) 评论(0) 推荐(0) 编辑
摘要: Linux中文件权限和目录权限的区别 阅读全文
posted @ 2021-05-31 20:23 广陌道人 阅读(569) 评论(1) 推荐(0) 编辑