周俊辉

LV2
发表了文章

一行代码引来的安全漏洞就让我们丢失了整个服务器的控制权

之前在某厂的某次项目开发中,项目组同学设计和实现了一个“引以为傲”,额,有点扩张,不过自认为还说得过去的 feature,结果临上线前被啪啪打脸,因为实现过程中...

周俊辉
发表了文章

fastjson 1.2.68 反序列化漏洞 gadget 的一种挖掘思路

fastjson 的这个新漏洞在 1.2.68 及之前版本的 autotype 关闭的情况下仍然可以绕过限制反序列化,相比 1.2.47 版本的漏洞来讲这个版本...

周俊辉
发表了文章

Android微信逆向--实现发朋友圈动态

最近一直在研究Windows逆向的东西,想着快要把Android给遗忘了。所以就想利用工作之余来研究Android相关的技术,来保持对Android热情。调用微...

周俊辉
发表了文章

FastAdmin后台GetShell

FastAdmin是基于ThinkPHP5和Bootstrap的后台框架,可以利用三方插件GetShell

周俊辉
发表了文章

SSRF攻击姿势汇总

这是很早就整理的笔记,今天想起来发到博客上,还是要保持写文章总结的习惯啊。 最近笔者在看讲SSRF、protocol smuggle、HTTP request ...

周俊辉
发表了文章

干货 | Linux系统行为新型实时监控技术

       万物互联和大数据技术的发展,让我们的生活更加活色生香,其背后离不开安全、稳定可靠的服务器系统。

周俊辉
发表了文章

复杂风控场景下,如何打造一款高效的规则引擎

| 在互联网时代,安全已经成为企业的命脉。美团信息安全团队需要采用各种措施和手段来保障业务安全,从而确保美团平台上的用户和商户利益不会受到侵害。

周俊辉
发表了文章

哆啦靶场XSS挑战赛1-10关攻略

哆啦集成了网络上常见的靶场与GitHub上比较好的靶场系统,配合一键启动模式,省去你去收集再进行搭建的时间,方便你更加快速的学习信息安全。

周俊辉
发表了文章

应急响应之CC攻击事件

CC主要是用来攻击页面的。大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,访问的人越多,论坛的页面越多,数据库...

周俊辉
发表了文章

短信身份验证的安全风险

前些日子在h1溜达的时候发现时看到国外的一位师傅对短信身份验证的安全风险,进行了总结,我将其翻译过来并结合自己以往的一些测试经验进行补充。

周俊辉
发表了文章

浅析HTTP走私攻击

如今攻击手段日益层出不穷,令企业防不胜防,因此企业不能再以原有的防守思维去防守。基于攻击者的视角,了解攻击者的攻击手法才能更好地做好防守。本次介绍的是攻击者常用...

周俊辉
发表了文章

『流量分析溯源』有人删除了数据库中的登录记录,找到攻击者境内的IP地址。

题目地址:https://www.mozhe.cn/bug/detail/NDU3RnFGTitFdUlaOXNlNFp6QzUydz09bW96aGUmozh...

周俊辉
发表了文章

领略cdn绕过的魅力

当网站架设一个带有云盾防护的cdn,无疑是对我们的web渗透造成了极大的困扰,当你的web一把梭失效之后,更多时候会让你对你的渗透目标进入苦思冥想的状态。

周俊辉
发表了文章

由一个系统激活工具引起的一次简单测试

新搭建了一个Win7虚拟机环境,随便找了一个激活工具,官网是这样的。。。(全程不会打码,让大家看看这帮人是多坑小白用户),这种站居然上了百度第一名,说明投入很高...

周俊辉
发表了文章

ThinkPHP 6.0.1 漏洞分析(任意文件操作)

2020年1月10日,ThinkPHP团队发布一个补丁更新,修复了一处由不安全的SessionId导致的任意文件操作漏洞.该漏洞允许攻击者在目标环境启用ses...

周俊辉
发表了文章

游戏安全之外挂与反外挂

DNF前几天进行了100级内容的更新,游戏内数据也发生了些许变化,其中包括游戏喇叭,

周俊辉
发表了文章

使用Powershell对目标进行屏幕监控

Nishang是基于PowerShell的渗透测试专用工具。集成了框架、脚本和各种payload。这些脚本是由Nishang的作者在真实渗透测试过程中有感而发编...

周俊辉
发表了文章

用无痕模式看不良内容?其实你早就被黑客盯上了!

自从移动互联网普及以来,人们的生活也变得丰富多彩,但是网络是把“双刃剑”。同时我们浏览各大网站时,也会发现互联网中存着很多非法“不良网站”,而很多人,经常会去看...

周俊辉
发表了文章

从一些常见场景到CSRF漏洞利用

对web客户端的攻击,除了XSS以外,还有一个非常重要的漏洞就是CSRF。 CSRF最关键的是利用受害者的Cookie向服务器发送伪造请求。 1.CSRF漏洞概...

周俊辉

个人简介

个人成就

扫码关注云+社区

领取腾讯云代金券