前段时间刚好在一篇文章中看到了一个SSI的文章,现在这种业务基本上很少见了,之前也没了解过(原谅我是菜鸡—_-!)没留意过。运气好,刚好在微博上给遇到了,所以记录下学习过程。
SSRF绕过方法总结
前言
昨天忘了在公众号还是微博上看到的了,看到一个SSRF绕过的技巧,使用的是
ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ绕过的,自己也没遇到过。然后想想自己对SSRF绕过还是停留在之前的了解,也没学习过新的绕过方法,所以特意找了找资料,学习学习最新黑科技,充充能。
Nginx解析漏洞原理分析
0x01 漏洞描述
漏洞介绍:nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。Nginx<8.03默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的攻击者可能攻陷支持php的nginx服务器。
Python安全开发之SQL注入
PHP中使用的预编译在python中同样适用,同样可以用预编译来防止python编码中的SQL注入问题。
Python开发笔记
近期学习开发中遇到的一些知识,做的学习笔记,做个小记录,持续更新中…
未授权访问漏洞总结
前言今年5月,比特币勒索病毒WannaCry席卷全球,国内众多机构部门计算机系统瘫痪。根据之前应急响应的案例分析,以及一些安全报告统计,目前大部分的勒索病毒均利用未授权访问等通用漏洞进行植入、勒索,尤其是Redis、MongoDB等数据库的未授权访问漏洞尤其严重。
0x01 介绍未授权访问可以理解为
...
安全脉搏漏洞挖掘小记
不知道大家之前对安全脉搏打开的时候是不是感觉响应很慢,所以最近一直在排查,然后重新更换wordpress主题进行改版升级。在对安全脉搏进行维护、更新的时候,偶然之间发现了脉搏上的几个漏洞,在此记录下。
看我如何用20行代码做日志分析
不管是渗透测试、应急响应还是运维,日志分析都万分重要。而linux下日志分析最好的工具那就是linux自带的各种命令了。本文将从一个小例子来介绍”如何用linux命令做日志分析”。