漏洞就在那里,在那显眼之处
众所周知,漏洞众测并不是一个容易入行并取得成就的领域,顶尖的白帽黑客不仅有沉浸多年的挖洞经验,而且还精通安全技术。现实中,为了鼓励人们发现漏洞,厂商的众测项目目标一般都具备较强的安全措施。很多时候对于我们大多数新手来说,由于测试目标的安全加固非常到位,所以,在参与众测过程中我们经常会遇到瓶颈,即使再怎么努力也无所发现,陷入窘境,如何来破?
https://www.freebuf.com/vuls/208915.html浅谈跨域威胁与安全
WEB前端中最常见的两种安全风险,XSS与CSRF,XSS,即跨站脚本攻击、CSRF即跨站请求伪造,两者属于跨域安全攻击,对于常见的XSS以及CSRF在此不多谈论,仅谈论一些不太常见的跨域技术以及安全威胁。
https://www.freebuf.com/articles/web/208672.html渗透前的目标信息收集小结
信息收集分类:
1、主动式信息搜集(可获取到的信息较多,但易被目标发现)
2、通过直接发起与被测目标网络之间的互动来获取相关信息,如通过Nmap扫描目标系统。
3、被动式信息搜集(搜集到的信息较少,但不易被发现,如通过搜索引擎搜索)
4、通过第三方服务来获取目标网络相关信息。如通过搜索引擎方式来搜集信息。
https://www.secz.org/websafe/2983.html逻辑让我崩溃之验证码姿势分享
本次分享的是自己关于自己遇到的一些关于图形验证码的案例,可能涉及图形验证码、短信验证码等,还是没有将问题探究到多深入,希望文中的思路能有所用。
https://www.secz.org/websafe/2976.html常规36个WEB渗透测试漏洞描述及修复方法
Apache样例文件泄漏、弱口令、明文传输登录口令、暴力破解、任意文件上传
https://www.secz.org/pentest/2977.html
(信息来源于网络,溪边的墓志铭搜集整理)
