今天室友遇到一个好玩的网站，下面是一些尝试绕过Waf进行XSS的记录。首先该网站没有对左右尖号和单双引号做任何过滤或转义。且有未知的waf或者其他阻止恶…

现在，安全研究者对网站或者应用程序进行渗透测试而不用任何自动化工具似乎已越来越难。因此选择一个正确的工具则变得尤为重要，正确的选择甚至占去了渗透测试成功…

文章来源：EDI安全 01 前言 动态渲染是一种用于将预渲染的网站页面提供给爬虫的技术（例如Google搜索引擎，Slack或Twitter机器人等）。…

前言 这是本系列第二篇文章，依然是某省HVV中的红队经历，这次的目标是某著名饮料企业。 上一篇（https://xz.aliyun.com/t/1118…

文章来源：重生信息安全 文章前言          在后渗透测…

前言 最近在尝试冲刺排名，恰好本次渗透中的东西可以拿来做一些分享，希望可以给大家提供一些思路，有什么不对不足的地方，希望各位师傅斧正，本文所涉及的漏洞均…

攻击机：192.168.1.102            Debian 靶机：  …

前言 最近，我们发现了一种新型的勒索软件，因其使用了gmail作为邮箱服务器，故被命名为Gomasom。当用户运行了该勒索软件时，用户的文件会被加密，加…

有时候，使用某些exp进行提权的时候，exp可能会被查杀，当然，有源码的话，我们可以在源码上进行修改进行免杀处理，但是今天介绍的是另外一只方法，即使用P…

文章来源：疯猫网络 0X00 闲话少说了 直接开始正题。 在使用谷歌语法寻找网站的时候遇到了一个比较 http://xxxxxx.php?id=94 标…

一、简介 在对网站进行渗透测试过程中，经常会遇见WAF，从而导致直接封IP，无法上传文件，文件上传漏洞对Web应用来说是一种非常严重的漏洞。 一般情况下…