WEB安全 - 推荐的文章 - 第3页

浅谈信息收集

## 写在前面信息收集对于渗透测试来说是很重要的，是渗透测试的前期准备工作，俗话说知己知彼，才能百战不殆。掌握了对目标的足够信息，我们才能更好地开展渗透测试。信息收集的方式可...

5
5
Johnson666
发布于 2021-05-31 17:13:38
阅读 ( 12945 )

在现代 Web 安全体系中，跨站脚本攻击（XSS）虽然已经是一个“老生常谈”的话题，但随着浏览器安全策略和防护手段的不断更新，XSS 的绕过技术也在持续演化。本文系统梳理了常见的 XSS 绕过思路，重点介绍了内容安全策略（CSP）的绕过方法、混合 XSS（mXSS）的成因与利用，并结合实际案例分析其背后的实现原理。通过从机制层面理解这些绕过方式，读者不仅能够更清晰地认识 Web 安全防护的局限性，还能在攻防对抗中掌握更有效的思路。

3
4
梦洛
发布于 2025-09-09 10:03:29
阅读 ( 5297 )

巧用Chrome-CDP远程调用Debug突破JS逆向

CDP远程调用非常方便，他允许我们直接可以通过代码来操作浏览器完成一系列行为，希望通过我的这篇文章让师傅们对其有一定了解，学习并赋能与我们的渗透测试与安全研究工作之中，提升效率！

2
4
新人小安
发布于 2025-01-22 09:00:01
阅读 ( 11034 )

小程序sign逆向和渗透两种思路，总有一款适合你

解开微信devtools进行debug获取加密逻辑和还原js后硬逆，两种思路各有利弊

5
4
逐影安全
发布于 2024-10-18 09:00:02
阅读 ( 8410 )

【漏洞挖掘】记一次985证书站Oracle注入绕WAF

本文记录了我第一次Oracle注入并绕过WAF的经历，希望大家多多支持。

7
4
越南王子
发布于 2024-05-21 09:00:00
阅读 ( 8403 )

【Web实战】阿里云手动接管云控制台（保姆级别教程不触发告警）

说到cli接管之前，首先得看明白阿里云官方文档，搞清楚具体流程和官方工具和api的调用方式，链接如下 https://next.api.aliyun.com/document/Ram/2015-05-01/overview

6
4
陌离sg009
发布于 2023-11-17 09:00:00
阅读 ( 13044 )

[Java安全]Spring SPEL注入总结&&回显技术

对Java安全中的SPEL表达式注入相关总结以及技巧

3
4
Nookipop
发布于 2023-10-24 09:00:02
阅读 ( 10895 )

CTF流量分析

对CTF比赛中常见的几种协议流量进行法分析。因为流量分析作用通常是溯源攻击流量的。

15
4
Obsession
发布于 2022-10-20 09:30:02
阅读 ( 19358 )

【FireEye解读】钓鱼网站检测逃逸

来骗！来偷袭！

2
4
pokeroot
发布于 2022-05-09 10:58:52
阅读 ( 9714 )

Thinkphp5-rce-过宝塔小思路

在一个项目上发现了一个tp5的rce漏洞，但是有宝塔拦截了

9
4
XG小刚
发布于 2022-01-24 11:12:28
阅读 ( 12754 )

BurpSuite Trick ALL In ONE (第一版)

BurpSuite 是一款Web安全研究人员、渗透测试人员和BugHunter的工具，在实际使用的时候一些小Trick将会帮助你更高效的使用这款工具，本文是在看到 Twitter上@sec_r0 开启的一个话题 #BurpHacksForBounties 之后基于他提到的一些trick进行扩展之后撰写的，在撰写的途中融合进了个人在使用BurpSuite时的一些trick和想法，也参考了众多文章，本篇为第一版，随后再有更多Trick的话会继续更新下一版。