作者: hola

90 篇文章

Json 转 Table,BP 响应包可以直接转,工具这个东西,还是自己写的比较有成就感
|
234
|
0
|
其他
|
|
hola

1896 字
|
1.3 小时
怎么说呢,工具这个东西,就是出自懒人之手 老规矩,先交代一下事件背景。 背景 某次在渗透测试的时候,发现一个接口,泄露了几千条个人信息。包含姓名、工号、手机号、邮箱等信息。 巧的是,另一个接口(一个类似于用户绑定的接口)也存在一个漏洞,如果用户满足某个条件,可以越权。 所以,我需要的就是,将泄露的这…
工具
代码审计之正则表达式的应用
|
154
|
0
|
代码审计
|
|
hola

3124 字
|
14 分钟
这次,分享分享正则表达式,真实工作环境中做代码审计,合理的使用正则表达式,可以大幅度的提高工作效率。 背景 现在很多的 Java 项目的鉴权,都是引入鉴权组件,然后以注解的方式去做的。 比如:@JianQuanAPI(name="dashboard", auth=Auth.NON…
代码审计
玄机靶场挑战【2024铁人三项决赛CTFMISC-aesweblog】,看到排第一的大佬,我的二血瞬间感觉不香了
|
93
|
0
|
专题
|
|
hola

2909 字
|
14 分钟
宣传了好几天的玄机靶场,本周末终于有空了,找了一道当下最新的题目,直接开整。 两个小时后,首战告捷,成功拿下二血。 结果,瞄了一眼一血,瞬间不香了,这家伙,三十秒,真男人呀...... 难不成这题有特殊解法?这速度,Ctrl + F 直接搜 flag ? 没搞明白,先简单地分享一下我自己常规的解题思…
试用期遇到服务器被攻陷?虚惊一场,结果只是次误报….
|
70
|
0
|
风险处置
|
|
hola

1955 字
|
8 分钟
绿蚁新醅酒,红泥小火炉。 晚来天欲雪,能饮一杯无? ——白居易 01 事件背景 2023 年 9 月 19 日,收到一条服务器告警信息,有一台线上云服务器被标记为恶意服务器。 有点慌新公司刚入职两周,就碰上这种事儿,考验也来的太快了些,要是处理不好,试用期岂不是都过不了。 想到这里,打起十二分精神,…
揭秘HTTPS如何保护你的隐私,TLS 1.0 为什么是不安全协议?
|
85
|
0
|
通信安全
|
|
hola

2282 字
|
9 分钟
事情的起因呢,是由于我们收到了一封网安的整改通知书 我们的系统存在 TLS1.0 弱加密算法 做网安的,99% 的人都知道 TLS 1.0 和 TLS 1.1 是不安全协议,但是,你知道 TLS 到底是什么吗?它们为什么不安全吗? HTTPS 通信原理 HTTPS(HyperText Transfe…
某钉自动打卡,让工作更简单,再也不怕上下班忘记打卡了
|
87
|
0
|
其他
|
|
hola

1180 字
|
15 分钟
声明:本文内容仅供学习,此脚本也仅限帮助打工仔减少忘记打卡的痛苦,切勿用于非法用途,否则后果自负。 某钉,已经成为上班族必不可少的工作软件。但是,每天的上下班打卡,时间久了,总是会偶尔忘记一两次,又是填单,又是申请,超过一定次数还会扣钱,让人为之头疼。 此前,某钉已经与远控软件(向日葵、AirDro…
autojs工具
面试题更新:反射型XSS漏洞,存储型XSS漏洞,DOM型XSS漏洞的区别
|
707
|
0
|
面试
|
|
hola

1187 字
|
8 分钟
题目来源:deman 感谢 deman 童鞋为大家提供的面试题。我先来抛砖引玉,提供一些自己的见解,欢迎积极讨论,一起打造最全的知识题库 反射型XSS、存储型XSS、DOM型XSS漏洞的区别 反射型 XSS (Reflected XSS) 基本原理 攻击者将恶意脚本注入到用户可控的参数中(如 URL…
面试
Base64 编码原理
|
673
|
0
|
密码编码
|
|
hola

961 字
|
7 分钟
总有一些开发的童鞋搞不懂编码与加密的区别。每次都对密码、手机号等信息随便做个 Base64 之后就觉得是加密或者脱敏后的数据了。 实际上,编码之后的数据,依然属于明文!!! 编码与加密的区别 编码就好像家里的大门,砰,关上了。结果就是,可以隔绝小猫、小狗、小苍蝇,但是只要是个正常人,咔,一推,就开了…
编码