背景 最近做的安全測評主要是SSRF，發現自己在這一塊有挺大知識盲點，抓緊補一下。 1.介紹 SSRF（Server-Side Request Forgery：服務器端請求偽造），是一種 ...

1.1.2 正文 SQL Injection：就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令。 具體來說，它是利用現有應用程序，將 ...

的服務器中，而不是用戶原本以為的信任站點。 XSS防范方法 1.代碼里對用戶輸入的地方和變量都需要 ...

近年來APT攻擊成為主要焦點：APT攻擊是黑客以竊取核心資料為目的，針對企業發生的攻擊和侵襲行業，APT攻擊整合了情報技術、黑客技術、社會工程學等各種手段，對特定目標進行長期持續性網絡攻擊，項目的是訪 ...

　　序文 　　最近，一種通過PowerShell腳本作為載體進行傳播的挖礦病毒在企業網絡中頻繁爆發，該病毒其利用了WMI+Powershell方式進行無文件攻擊，並長駐內存進行挖礦。還具有兩種橫向傳染機制，分別為WMIExec自動化爆破和MS17-010“永恆之藍”漏洞攻擊，極易在企業網的局域網 ...

以太坊的共識機制是 PoW(Proof of Work 工作量證明機制)，使用的算法是Ethash,這種算法是對 Dagger-Hashimoto算法的改良版本，流程大概如下 1.對於每一個塊，首先 ...

a)攻擊原理： i.用戶C訪問正常網站A時進行登錄，瀏覽器保存A的cookie ii.用戶C再訪問攻擊網站B，網站B上有某個隱藏的鏈接或者圖片標簽會自動請求網站A的URL地址,例如表單提交，傳指定的參數 iii.而攻擊網站B在訪問網站A的時候，瀏覽器會自動帶上網站A的cookie iv. ...

初次接觸： 　　初次接觸JavaScript注入漏洞后，如果不對這種漏洞的作用機理仔細分析並提取出其發生的某種模式，你就不能做到快速的發現項目中可能存在的所有注入風險並在代碼中防范。 發生模式： JavaScript注入漏洞能發生作用主要依賴兩個關鍵的動作，一個是用戶要能從界面中注 ...