2021-01-07 阅读(538)

网站权限提升简介权限提升简称提权，顾名思义就是提升自己在目标系统中的权限。现在 的操作系统都是多用户操作系统，用户之间都有权限控制，比如通过Web漏洞拿到的是Web 进程的...

2021-01-03 阅读(374)

知识是无穷无尽的，更不用说一篇又一篇最新的分领域论文，课本、书籍、文献都可以消 化一段时间。我以前进过这个洞。我在学习蓝牙安全的时候，刚刚啃了一个星期的蓝牙核心 协...

2021-01-03 阅读(177)

今年的工作重点是跟随团队的方向调整，从业务安全转向安全研究。说到安全研究，很多人 想到的是分析漏洞，挖洞，写利用。当然，这是其中之一，安全总是与漏洞有着千丝万缕的联...

2021-01-03 阅读(404)

今年的工作重点是跟随团队的方向调整，从业务安全转向安全研究。说到安全研究，很多人 想到的是分析漏洞，挖洞，写利用。当然，这是其中之一，安全总是与漏洞有着千丝万缕的联...

2020-12-28 阅读(268)

这一部分内容的重中之重是session和cookie，客户在安全使用app系统时，如何根据客户 的身份提供不同的功能和相关数据，每个人都有这样的体验。例如，访问淘宝，不会把自己喜 欢的商...

2020-12-28 阅读(365)

对越权的问题还是挺多的，由于业务系统很复杂，开发人员众多，难免会有功能没有做权限 检查，对于这一部分就存在两种操作： 任务1：在因特网上找到一个可注册的网址，测试它忘...

2020-12-28 阅读(280)

在了解网站逻辑漏洞之后，首先对访问控制进行了几种分类：垂直访问控制(如普通用户和管 理员)、水平访问控制(如不同用户之间)、上下文相关的访问控制(如密码修改过程，先验证再...

2020-12-26 阅读(211)

既然越权扫描器不能解决所有的业务逻辑漏洞，那么尝试改变生产关系？在业务、产品、开 发、测试、安全之间合作关系的变化中，每个人都应该对APP安全负责。业务逻辑漏洞的解决方...

2020-12-25 阅读(274)

写这个软件已经半年多了。希望以自己的方式记录为沉淀。当业内有人再次提到越权扫描 器时，从前端到后端，从代理到消费，从设计到使用，都会有一个感性的参照。 为什么要做这...

2020-12-25 阅读(814)

笔者认为，这篇文章的完成，是一件高兴的事。由于本文是国内首本专门论述XSS的著作，因此 本文的推出，为学习网络安全的新人提供了充足的学习材料，同时也为安全工作者提供了一...