背景 最近做的安全测评主要是SSRF，发现自己在这一块有挺大知识盲点，抓紧补一下。 1.介绍 SSRF（Server-Side Request Forgery：服务器端请求伪造），是一种 ...

1.1.2 正文 SQL Injection：就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。 具体来说，它是利用现有应用程序，将 ...

的服务器中，而不是用户原本以为的信任站点。 XSS防范方法 1.代码里对用户输入的地方和变量都需要 ...

近年来APT攻击成为主要焦点：APT攻击是黑客以窃取核心资料为目的，针对企业发生的攻击和侵袭行业，APT攻击整合了情报技术、黑客技术、社会工程学等各种手段，对特定目标进行长期持续性网络攻击，项目的是访 ...

　　序文 　　最近，一种通过PowerShell脚本作为载体进行传播的挖矿病毒在企业网络中频繁爆发，该病毒其利用了WMI+Powershell方式进行无文件攻击，并长驻内存进行挖矿。还具有两种横向传染机制，分别为WMIExec自动化爆破和MS17-010“永恒之蓝”漏洞攻击，极易在企业网的局域网 ...

以太坊的共识机制是 PoW(Proof of Work 工作量证明机制)，使用的算法是Ethash,这种算法是对 Dagger-Hashimoto算法的改良版本，流程大概如下 1.对于每一个块，首先 ...

a)攻击原理： i.用户C访问正常网站A时进行登录，浏览器保存A的cookie ii.用户C再访问攻击网站B，网站B上有某个隐藏的链接或者图片标签会自动请求网站A的URL地址,例如表单提交，传指定的参数 iii.而攻击网站B在访问网站A的时候，浏览器会自动带上网站A的cookie iv. ...

初次接触： 　　初次接触JavaScript注入漏洞后，如果不对这种漏洞的作用机理仔细分析并提取出其发生的某种模式，你就不能做到快速的发现项目中可能存在的所有注入风险并在代码中防范。 发生模式： JavaScript注入漏洞能发生作用主要依赖两个关键的动作，一个是用户要能从界面中注 ...