周俊辉

LV2

技术专栏

黑白安全TA创建的

黑白网成立于2014年,基于丰富的技术和经验,提供各类技术性动态。官网:www.heibai.org

961 文章173 关注者

全部文章

  • 一行代码引来的安全漏洞就让我们丢失了整个服务器的控制权

    之前在某厂的某次项目开发中,项目组同学设计和实现了一个“引以为傲”,额,有点扩张,不过自认为还说得过去的 feature,结果临上线前被啪啪打脸,因为实现过程中...

    周俊辉
  • fastjson 1.2.68 反序列化漏洞 gadget 的一种挖掘思路

    fastjson 的这个新漏洞在 1.2.68 及之前版本的 autotype 关闭的情况下仍然可以绕过限制反序列化,相比 1.2.47 版本的漏洞来讲这个版本...

    周俊辉
  • Android微信逆向--实现发朋友圈动态

    最近一直在研究Windows逆向的东西,想着快要把Android给遗忘了。所以就想利用工作之余来研究Android相关的技术,来保持对Android热情。调用微...

    周俊辉
  • FastAdmin后台GetShell

    FastAdmin是基于ThinkPHP5和Bootstrap的后台框架,可以利用三方插件GetShell

    周俊辉
  • SSRF攻击姿势汇总

    这是很早就整理的笔记,今天想起来发到博客上,还是要保持写文章总结的习惯啊。 最近笔者在看讲SSRF、protocol smuggle、HTTP request ...

    周俊辉
  • 干货 | Linux系统行为新型实时监控技术

           万物互联和大数据技术的发展,让我们的生活更加活色生香,其背后离不开安全、稳定可靠的服务器系统。

    周俊辉
  • 复杂风控场景下,如何打造一款高效的规则引擎

    | 在互联网时代,安全已经成为企业的命脉。美团信息安全团队需要采用各种措施和手段来保障业务安全,从而确保美团平台上的用户和商户利益不会受到侵害。

    周俊辉
  • 哆啦靶场XSS挑战赛1-10关攻略

    哆啦集成了网络上常见的靶场与GitHub上比较好的靶场系统,配合一键启动模式,省去你去收集再进行搭建的时间,方便你更加快速的学习信息安全。

    周俊辉
  • 应急响应之CC攻击事件

    CC主要是用来攻击页面的。大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,访问的人越多,论坛的页面越多,数据库...

    周俊辉
  • 短信身份验证的安全风险

    前些日子在h1溜达的时候发现时看到国外的一位师傅对短信身份验证的安全风险,进行了总结,我将其翻译过来并结合自己以往的一些测试经验进行补充。

    周俊辉
  • 浅析HTTP走私攻击

    如今攻击手段日益层出不穷,令企业防不胜防,因此企业不能再以原有的防守思维去防守。基于攻击者的视角,了解攻击者的攻击手法才能更好地做好防守。本次介绍的是攻击者常用...

    周俊辉
  • 『流量分析溯源』有人删除了数据库中的登录记录,找到攻击者境内的IP地址。

    题目地址:https://www.mozhe.cn/bug/detail/NDU3RnFGTitFdUlaOXNlNFp6QzUydz09bW96aGUmozh...

    周俊辉
  • 领略cdn绕过的魅力

    当网站架设一个带有云盾防护的cdn,无疑是对我们的web渗透造成了极大的困扰,当你的web一把梭失效之后,更多时候会让你对你的渗透目标进入苦思冥想的状态。

    周俊辉
  • 由一个系统激活工具引起的一次简单测试

    新搭建了一个Win7虚拟机环境,随便找了一个激活工具,官网是这样的。。。(全程不会打码,让大家看看这帮人是多坑小白用户),这种站居然上了百度第一名,说明投入很高...

    周俊辉
  • ThinkPHP 6.0.1 漏洞分析(任意文件操作)

    2020年1月10日,ThinkPHP团队发布一个补丁更新,修复了一处由不安全的SessionId导致的任意文件操作漏洞.该漏洞允许攻击者在目标环境启用ses...

    周俊辉
  • 游戏安全之外挂与反外挂

    DNF前几天进行了100级内容的更新,游戏内数据也发生了些许变化,其中包括游戏喇叭,

    周俊辉
  • 使用Powershell对目标进行屏幕监控

    Nishang是基于PowerShell的渗透测试专用工具。集成了框架、脚本和各种payload。这些脚本是由Nishang的作者在真实渗透测试过程中有感而发编...

    周俊辉
  • 用无痕模式看不良内容?其实你早就被黑客盯上了!

    自从移动互联网普及以来,人们的生活也变得丰富多彩,但是网络是把“双刃剑”。同时我们浏览各大网站时,也会发现互联网中存着很多非法“不良网站”,而很多人,经常会去看...

    周俊辉
  • 从一些常见场景到CSRF漏洞利用

    对web客户端的攻击,除了XSS以外,还有一个非常重要的漏洞就是CSRF。 CSRF最关键的是利用受害者的Cookie向服务器发送伪造请求。 1.CSRF漏洞概...

    周俊辉
  • 代码审计 | zzcms8.2

    代码审计,最重要的就是多读代码,对用户与网站交互的地方要特别注意。在进行审计时,我们也可以使用一些审计工具来辅助我们进行工作,从而提高效率。下面,笔者将分享审计...

    周俊辉

个人简介

个人成就

扫码关注云+社区

领取腾讯云代金券