最近将资产收集的信息进行了整合，可以基于域名生成 web 资产信息报告，今天从报告的内容上来聊聊其中包含了哪些技术点，算作一个阶段性的总结。

互联网上有大量自动化漏洞扫描器在运行，不断探测互联网空间的安全漏洞，其中不乏黑灰产等违法犯罪活动，当然也有大量白帽子探测漏洞，获得赏金，然而，常规的安全防御系统，比如 waf 之类的系统，针对漏洞探测，采取拒绝访问的策略，只要匹配到恶意攻击的请求，通过拦截请求或者封禁 IP 的方式进，对于攻击者而言，漏洞是否存在，通过结果就能判断，漏洞扫描器的准确率是比较高的。

1、《网络安全法》之规定：任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能，窃取网络数据等危害网络安全的活动；不能为这类非法活动提供任何帮助，比如工具、程序等；在明知其违法的情况下，不得提供任何技术支持。

在测试绕过 WAF 执行远程代码之前，首先构造一个简单的、易受攻击的远程代码执行脚本，内容如图：

大家好，我是 H1kki，目前大三在读 ，在学习完 WEB 基础漏洞之后，就一直跟着信安之路成长平台在查漏补缺。前些日子看到了信安之路推出的这个 脚本小子培养计划，抱着试一试的心态报名参加了这次渗透实训，从 11 月 6 号开始到 12 月 1 号结束，历时将近一个月与 50 多名师傅们一起走完了这段历程，收获很多，感悟也很多。因为大学生比较闲，我推进课程的速度也比其他师傅快了一些，所以良哥给了这个机会让我和大家分享一下这次课程的成果，于是有了这篇分享。

今天来分享一个绕过过滤比如 ' " ( ) % 等字符的场景，测试环境为 PHP+Mysql

在一次测试中，发现一个输入单引号触发页面报错，而输入两个单引号触发页面跳转拒绝访问的页面，比如：

XSS 也就是大家常说的跨站脚本攻击，利用该漏洞可以执行任意 JavaScript 脚本，RCE 也就是远程名称执行，可以执行任意系统命令。那么如何通过 XSS 漏洞升级到 RCE 漏洞呢？今天分享几个开源案例。原文：

今天帮大家面试了一个机器人，问了一些常见的安全问题，看看能不能把他难倒，下面是面试的流程，看看机器人的回答是否合你的心意。

伴随着信息技术日新月异、迅猛发展，网络安全问题层出不穷，一直是社会关注的焦点。网络攻击威胁持续上升，勒索软件、数据泄漏、黑客攻击等层出不穷且变得更具危害性。网络攻击者的攻击成本在不断降低，同时攻击方式更加先进，关键信息基础设施面临的网络安全形势日趋严峻；伴随着信息安全的热度上涨，市场需求也飞速增长。具有公信力的认证是就业的敲门砖，也是晋升的阶梯。

最近一直在开发一个小工具，用来帮助大家做好 SRC 挖洞的第一步，资产收集，当你想要开始挖一个企业的漏洞时，第一步就是要了解目标的资产收集的范围以及属于该企业的域名资产有哪些，那么使用今天的小工具，只需一步，就能获取目标企业的基本信息。

今天给大家安利几个不错的在线安全工具，无需安装配置即可使用，在实际工作中能够帮助我们提升效率，顺序的话，就根据渗透的顺序来。

注册发现，需要邀请码，但是这个平台是一个开源项目，已经有很多人在玩，那么通过关键词 xss-platform 来进行搜索，可以发现很多不需要验证码的平台，找一个注册账号进去看看：

小张是一名 IT 工程师，在工作上拥有非常丰富的经验，然而最近却遇到了一个让他头疼的事情，就是传输文件，到底发生了什么呢？我们来一追究竟！

为了方便所有人参与国外的漏洞赏金项目，信息收集的过程通过数据共享的方式帮你省略，让你专注于漏洞的挖掘，今天来给大家整理几个为大家共享漏洞赏金数据的开源项目。

随着网络架构、技术工具的发展，十多年前使用的一些技术已经退出大家的视野，今天来给大家分享几个曾经使用过的工具和技术，如今已经很少见了。

涉及我们网络安全的内容有两个部分，一个是建设网络强国，一个是网络安全事关国家安全和发展。

每一个已经入门一个领域的人都有自己的一套入门方法，在无人指点的情况下，通过自己的摸索加上努力的沉淀逐渐成为一个领域的专家，从入门到成为专家也只是时间的问题，如果有高人指点，那么入门的时间会大大缩短，将那些无意义且浪费时间的部分忽略掉，从而以最短的时间获得最高的收益。

在实际的测试中，登录时通常可以使用账号密码登录以及短信验证码登录，账号密码的暴力破解，是否成功取决于用户使用的字典是否包含在你的攻击字典中，如果存在，则可以成功爆破，如果不存在则无法成功爆破，但这不是今天的重点，今天的重点是针对使用短信验证码登录时如何破解验证码的问题。

今天给大家分享一个自动化信息收集的平台，集资产收集、waf 识别、OSINT、网络爬虫、漏洞扫描于一体，只需输入一个域名，即可获得大量信息，堪称坐着就能实现资产、漏洞自动化发现，到底是什么？先来看看效果（由于部署在本地，无法访问谷歌，其中 OSINT 功能无法正常使用，所以仅展示除 OSINT 以外的功能），项目地址：