零基础从0到1掌握Java内存马

本文目录： 一、前言 二、前置知识 2.1 Servlet容器与Engine、Host、Context和Wrapper 2.2 编写一个简单的servlet 2.3 从代码层面看servlet初始化与装载流程 2.3.1 servlet初始化流程分析 2....

• 22
• 15
• W01fh4cker
• 发布于 2024-06-06 10:14:22
• 阅读 ( 13477 )

小米AX9000路由器CVE-2023-26315漏洞挖掘

分享一个笔者挖的小米AX9000路由器命令注入漏洞（CVE-2023-26315）的调用链分析。为了赏金挖洞，为了稿费发文，又要到饭了兄弟们！

• 17
• 15
• winmt
• 发布于 2024-05-23 09:00:00
• 阅读 ( 33312 )

某众测前端解密学习记录

某次大型金融公司众测,抓包发现都是加密数据,经过Jsrpc与autoDecoder学习调试后,最后也是成功还原数据包,挖掘出高危漏洞。分享经验，希望对大家有所帮助。

• 19
• 15
• lei_sec
• 发布于 2024-04-15 10:13:29
• 阅读 ( 13776 )

记一次HW样本分析

HW中遇到的样本

• 4
• 15
• 鹿柴
• 发布于 2023-09-05 09:00:00
• 阅读 ( 16893 )

一次针对安全人员免杀工具的投毒事件分析

一次针对安全人员免杀工具的投毒事件分析

• 11
• 15
• 安全运营小二
• 发布于 2022-09-15 09:33:08
• 阅读 ( 22944 )

零基础解密手机微信【视频讲解】

#前言： 微信平台是目前公众使用频率极高的一款即时通信软件，为公众带来极大的便利。但同时也给 不法分子带来新的机会，许多违法犯罪行为在微信平台上发生。 上篇我们介绍了PC端微信相关数...

• 12
• 15
• 天禧信安
• 发布于 2021-08-30 10:10:00
• 阅读 ( 24541 )

同源异梦：JWT 泄露后从主站到旁站的渗透曲线

在测试过程中，常常会遇到jwt的泄露，但是在测试时，无论加什么header，如何改uri，最后的结果不是401，就是404。不妨试一下同IP站点或者相似站点。

• 10
• 14
• _7
• 发布于 2025-07-02 09:43:33
• 阅读 ( 11024 )

未授权服务加固与泛解析字符绕过

面向公网资产多轮加固的业务、异常的业务，通过泛解析字符让服务抛出异常信息回显，定位到无需认证的位置，缩短未授权业务测试的日常时间成本。

• 18
• 14
• echoa
• 发布于 2025-04-22 16:44:26
• 阅读 ( 8051 )

bc从注册到RCE

喜欢就好

• 7
• 14
• 阿斯特
• 发布于 2024-05-14 14:09:44
• 阅读 ( 9263 )

半自动化代码审计实战

无论我们在手工代码审计中具备多么扎实的技术背景、丰富的经验和敏锐的洞察力，仍然会存在着一些局限性；为了克服这些局限性，使用自动化代码审计工具可以快速识别所有可疑漏洞的位置，从而提高审计的效率和准确性！

• 12
• 14
• Yu9
• 发布于 2024-02-22 09:00:01
• 阅读 ( 19121 )

【Web实战】零基础微信小程序逆向

本文以微信小程序为例，从实战入手，讲解有关于小程序这种新型攻击面的渗透，对于了解小程序的安全性和防范措施有一定的帮助。

• 23
• 14
• Believer
• 发布于 2023-11-21 09:00:02
• 阅读 ( 21389 )

记一次渗透实战-代码审计到getshell

一次渗透测试遇见的系统，遂进行代码审计

• 16
• 14
• dota_st
• 发布于 2022-02-14 09:28:23
• 阅读 ( 15021 )

实战|从零开始的SRC挖掘——如何一洞百分

寒假在家无所事事，打开edusrc，开启了不归路（狗头）。 每一次成功的渗透，都有一个非常完备的信息搜集。 信息搜集的广度决定了攻击的广度，知识面的广度决定了攻击的深度。

• 29
• 14
• Wumingzhilian
• 发布于 2021-08-03 15:16:08
• 阅读 ( 14422 )

智能汽车安全-漏洞挖掘到控车攻击

本文专注讲解真实漏洞、挖掘技巧、实际控车案例和个人的建议，不涉及复杂的汽车架构、网络拓扑、车内通信等技术，所有人都可放心食用

• 17
• 13
• OYyunshen
• 发布于 2025-04-30 11:33:20
• 阅读 ( 11741 )

某移动平台代码审计

该套系统是一次地市级hvv中，扫目录扫到备份文件拿到的，因为也是第一次审计.net，前期也没学过，可能也有很多解释的不对的地方望师傅们指出

• 7
• 13
• T4nGgggggggggggggggggggggggggggggggg
• 发布于 2023-08-30 09:00:02
• 阅读 ( 10097 )

java代审那些笔记之若只如初见

之前给自己挖了几个大坑，一系列的总结文档还没有弄完，又碰上审计了，顺便记录记录下~有啥问题或建议，望大佬们，多多指点。

• 15
• 13
• 0nlyuAar0n
• 发布于 2023-01-17 09:00:02
• 阅读 ( 19911 )

waf绕过--打狗棒法

0x01 前言 某狗可谓是比较好绕过的waf，但是随着现在的发展，某狗也是越来越难绕过了，但是也不是毫无办法，争取这篇文章给正在学习waf绕过的小白来入门一种另类的waf绕过。 某狗可谓是比较好绕...

• 22
• 13
• Q16G
• 发布于 2022-11-07 16:34:56
• 阅读 ( 15326 )

又记一次安服仔薅洞实战-未授权之发现postgresql注入

距离上次文章又过去了小半年的时间，忙了小半年也没有什么优秀的东西分享就一直沉寂着，这次我带着实战干货又回来啦！这一次也是干公司的项目，是关于一个登录框的渗透测试，也不逼逼了开始渗透

• 25
• 13
• L1NG
• 发布于 2022-03-07 09:55:23
• 阅读 ( 15823 )

Android移动安全第一章_组件导出安全

这是 Android 移动安全系列的第一章。整个系列计划覆盖组件导出、Intent、WebView、Binder 服务等方向，逐篇分享 Android 客户端安全技术。附带靶场 App

• 6
• 12
• bReaK_1
• 发布于 2026-03-24 10:04:06
• 阅读 ( 3557 )

从域认证协议以及密码凭据机制的角度来看内网渗透

本文记录了内网渗透中主机之间的认证以及横向，域渗透相关的协议以及思路的多种方式，

• 20
• 12
• 暖阳春草
• 发布于 2025-03-14 09:00:00
• 阅读 ( 8779 )