简介Snort是一个多平台(Multi-Platform)，实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention S...

SQL注入bypass笔记waf是如何防御的waf是通过使用一组规则来区分正常请求和恶意请求的。例如：安全狗、云锁、D盾等。绕过：既然是存在规则匹配，那么就可以想方法绕过规则匹配。比...

本文首发于“合天智汇”公众号 作者：HhhMweb1输入1点击输入框后会显示如下参数：?id=1!-- $query = "SELECT * FROM fake_flag WHERE id = $id limit 0,$limit"; //$query = "...

攻防世界WEB攻防世界WEB 1.baby_web 2.Training-WWW-Robots 3.unserialize3 4.Webphpunserialize 5.php_rce 6.Webphpinclude 7.supersqli 8.ics-06 9.warmup 10.NewsCenter

Web扫描器通过构造特殊请求的方式，对Web系统可能存在的安全漏洞进行扫描，是渗透工作的必备工具。本文尝试从扫描器检测方向出发，根据扫描器的功能和所产生的请求内容对其进行分...

很多朋友们对于登录必然遇到的验证码这个事情很不理解，增加用户操作的冗余性，直接登录很方便，为什么web端登录要添加个验证码？直到上周，一家做业务安全的公司给出我们现在Web网站...

前言 如何从外部进入主机？ SSI注入攻击介绍 SSI(server side inject)的出现是为了赋予HTML静态页面动态的效果，通过SSI来执行系统命令；并返回对应的结果。 如果再网站目录中发...

本文首发于“合天智汇”公众号，作者： 影子 各位大师傅，第一次在合天发文章，请多多关照 今年年初的疫情确实有点突然，打乱了上半年的所有计划（本来是校内大佬带我拿奖的时刻，没...

 iox是一款功能强大的端口转发&内网代理工具，该工具的功能类似于lcx和ew，但是iox的功能和性能都更加强大。 实际上，lcx和ew都是非常优秀的工具，但还是有地方可以提升的。在一开...

 前言 受到疫情关系地持续影响，广东的学校迟迟未开学，而我已经在家待了快5个月了。某企业授权我去测试下他们公司的整体网络安全性，而且也不会让我白干活，好处是少不了的。因为...

2020已经过半，在合天智汇的后台，我们经常收到一些Web安全小白的困惑，大体有以下三类：1. 面试Web安全相关工作时，不知如何应对面试的时候，涉及到有些的专业知识，没办法正确的回答，更...

近年来，随着云计算、人工智能、物联网、5G等新技术新起，企业数字化转型使业务暴露范围急剧增加，伴随着黑色产业链向专业化、规模化、智能化方向快速发展，各行各业面临着更多未知...

  web安全是信息安全学习里面非常重要的一块内容。随着国家对于网络安全的重视，学习的同学是越来越多。从目前的学员就业和企业招聘来讲，企业十分缺人，因此就业薪资比较高，而...

最近，有不少小伙伴想要转行网络安全，Web安全成了很多人的首选，但也有不少人还在犹豫，我们在公众号后台收到了不少人的留言：合天智汇近年来开展的就业推荐服务，为上百家知名企业提...

随着网络信息技术的飞速发展和全面普及，国家及企业对网络安全人才求贤若渴。而网络安全职位中，Web安全相关职位占比更高，所以这就决定了Web安全人才在市场上拥有令人眼红的薪资...

在我的上一篇文章 OWASP 安全测试指南解读 中, 我解读了 OWASP 的 Web 渗透测试方法论。 方法论总是高高在上, 本篇文章我想谈谈 渗透测试人员怎么结合 OWASP 测试方法论...

一个多月前，没有人能预测到2020会以这样的局面开始，疫情之下，所有人“被困”家中，一再延迟的开工日期，也让不少人也开始焦虑，为了缓解大家的焦虑，帮助大家把长期留守家中的时间变得...

在学习过程中有相关问题，可添加周小安微信：zhouxiaoan360，进行咨询。(回复“学习”，我们将在24小时内入群邀请。)更多课程内容详情请登录360网络空间安全教育云平台，点击“公开...

OWASP 测试项目 简介OWASP 测试项目已经发展了许多年。通过这个项目，我们希望帮助人们了解自己的 Web 应用程序，什么是测试，为什么要测试，什么时间，在哪里 以及 如何测试 WEB 应...

一名合格的Web安全工程师要具备很多的技能，不但要对网站架构熟悉，通讯协议，测试流程与测试工具使用，漏洞利用脚本编写，还要有丰富的经验积累等，每一项能力中都需要精心雕琢，深度研...

Writeup 1: Controllable Database Connection本文由PeckShield漏洞研究总监Edward Lo撰写 打开网站提示“Please connect to the database first” 还有一个 Connect的链...

10月19日，在韩国首尔江南区CNN的The Biz会场，DVP全球黑客松大赛韩国站正式拉开帷幕。 本场大赛由DVP主办，MIXMARVEL、Contentos、Bibox、ONTology、YEECO、Elastos协办，由白帽...

网络安全事关国家安全，国家和行业出台的相关法律、政策以及监管要求对企事业单位的网络安全提出了严格的要求；而随着数字化转型的推进，企事业单位自身对安全的要求也越来越高。...

0x1 WAF的常见特征之所以要谈到WAF的常见特征，是为了更好的了解WAF的运行机制，这样就能增加几分绕过的机会了。本文不对WAF做详细介绍，只谈及几点相关的。总体来说，WAF(Web Appl...

报错注入攻击http://whc.dropsec.xyz/2017/04/16/SQL%E6%8A%A5%E9%94%99%E6%B3%A8%E5%85%A5%E6%80%BB%E7%BB%93/https://www.freebuf.com/column/158705.html查库 (select s

SQL注入基础 SQL注入介绍Web请求响应过程：什么是SQL注入？就是指web应用程序对用户输入数据的合法性没有判断，前端传入后端的参数是攻击者可控的，并且参数带入数据库查询，攻击者可...

概述Java序列化对象（Java Serialization Object，JSO）是Java语言中在不同Java程序之间进行数据交换的机制，通过序列化和反序列可以在程序保存和恢复Java执行态的对象，JSO给Java开...

原创： 月亮警察针灸你 合天智汇 Web安全浅析在探讨Web安全学习之前，首先了解一下什么是Web 看到这里，你可能会问：这么多内容都需要学习吗？答案是：可以不用学得很深入，但是如果不...

18年下半年开始，裁员潮是一波接一波。锤子科技关闭了成都分公司，让整个公司60%的员工丢掉饭碗；斗鱼直播平台也遣散了70名深圳团队的员工；阿里、知乎、滴滴、京东等互联网公司相...

去年，有一位老外Jan Böhmer创建了一个网站，用于跟踪和记录用户数据，包括点击，鼠标移动，浏览器类型和操作系统。通过Web应用进行用户跟踪大家已经司空见惯，但是这个网站使用的方法...