瓦都尅


愈有知,愈无知。

BurpSuite插件开发之Fastjson自动化检测

前言 之前做渗透测试的时候遇到过一个问题,当时的渗透测试项目发现个漏洞是XXE漏洞,这个漏洞是手工发现的,当时也挂着扫描器的被动扫描模式也扫了一遍,但是没扫到。


PC(C/S架构)客户端测试笔记

0. 概述 web、PC客户端、APP客户端的区别: web为B/S架构,服务端更新后,刷新一下页面就同步更新了 PC、APP为C/S架构,服务端更新后,需要


应急响应笔记之Linux篇

整理下自己之前做的应急响应相关的碎片笔记,太多了,没办法全部列出来,先整理一些常用的。 1. 系统日志 /var/log/cron :crontab命令日志 /


企业安全建设之与灰黑产对抗的两个多月(三)

在路上,所以没有办法上传图片,所以这篇先说下我们目前加固的方法,另外,大家注意安全呀。 0x00 前言 公司年末的时候为了验证安全建设的效果如何,找了下国内某


企业安全建设之与灰黑产对抗的两个多月(二)

紧接着上一篇的继续:企业安全建设之与灰黑产对抗的两个多月(一) 上一篇留了个小问题,关于入口登录处黑产怎么利用的,这篇继续。 0x01 问题描述 某天客户反馈了


企业安全建设之与灰黑产对抗的两个多月(一)

0x00 前言 9月初的时候离开了工作两年的上海,又回到了杭州的一家初创的金融公司。为什么想着换工作呢,主要是想着换个角色和身份,学习下甲方的安全建设思路,从甲


如何设计一个安全的对外接口?

0x01 前言 目前,大部分的业务系统需要提供公网域名、IP进行访问,若涉及用户个人信息、支付交易、订单信息等有关接口,那么接口的安全性就相当重要了。 0x02


面向渗透测试和SRC的之子域名挖掘技巧

在公司企业安全建设中,就子域名的一些想法。只是对于我司而已,可能不通用,因地制宜。 0x01 前言 由于现实的种种原因,我们不可能将所有子域名放到内网中或者绑


基于Django和clean-blog前端框架的博客系统

这周总算是稍微有点自己的空闲时间了,趁下班时间赶紧撸点代码,之前找前端框架的时候找到个自我感觉挺好看、简约的博客模版,所以用Django实现了下。 1. 介绍


免费代理池的实现与优化

之前做的代理池,最近有需要,又用了起来,但是,emmm... 所以重构了下,可用性还是很高的。 临时API:http://94.191.42.63:9090/