瓦都尅


愈有知,愈无知。

企业安全建设之与灰黑产对抗的两个多月(一)

0x00 前言 9月初的时候离开了工作两年的上海,又回到了杭州的一家初创的金融公司。为什么想着换工作呢,主要是想着换个角色和身份,学习下甲方的安全建设思路,从甲


如何设计一个安全的对外接口?

0x01 前言 目前,大部分的业务系统需要提供公网域名、IP进行访问,若涉及用户个人信息、支付交易、订单信息等有关接口,那么接口的安全性就相当重要了。 0x02


面向渗透测试和SRC的之子域名挖掘技巧

在公司企业安全建设中,就子域名的一些想法。只是对于我司而已,可能不通用,因地制宜。 0x01 前言 由于现实的种种原因,我们不可能将所有子域名放到内网中或者绑


基于Django和clean-blog前端框架的博客系统

这周总算是稍微有点自己的空闲时间了,趁下班时间赶紧撸点代码,之前找前端框架的时候找到个自我感觉挺好看、简约的博客模版,所以用Django实现了下。 1. 介绍


免费代理池的实现与优化

之前做的代理池,最近有需要,又用了起来,但是,emmm... 所以重构了下,可用性还是很高的。 临时API:http://94.191.42.63:9090/


关于MySQL LOAD DATA特性的利用与思考

前几天做测试的时候,遇到个adminer,成功利用MySQL LOAD DATA特性进行文件读取,并最终getshell。 MySQL LOAD DATA 主


XSS Cheat Sheet

如果碰到没遇到或者不知道的,建议大家先Google、看文档。 首先大家可以先看下这个网站: https://portswigger.net/web-secur


渗透测试 | 突破前端JS加密限制

前言 现在前端开发为了提高爬虫的难度及加强安全性,都会在数据包提交前进行加密,最典型的就是传参加密,相信大家在测试的时候都遇到过,那么我们在抓取数据包并修改之后


渗透测试之业务流量通用抓包方法

0x01 Proxifier代理介绍 首先介绍下Proxifier: Proxifier是一款功能非常强大的代理客户端,支持Windows XP/Vista/W


渗透测试之微信小程序破解

在移动互联的时代,手机端业务越来越多,最普遍的就是微信小程序。最近项目测试的时候发现现在的程序员的安全意识越来越好,很多业务都采用了签名来校验数据包,这样,如果