一、說明 1.1 背景說明 對於大多數剛開始接觸wireshark的使用者而言，經常是開始的時候時候看到wireshark能把所有數據包都攔截下來覺得強無敵，但是面對一大堆的數據包要問有什么用或者 ...

一、理解 1.1 技術理解 ONVIF = 服務端 + 客戶端 =（Web Services + RTSP）+ 客戶端 = （（WSDL + SOAP） + RTSP） + 客戶端 WSDL是 ...

一、說明 1.1 pfSense是什么 pfSense是基於FreeBSD的、開源中最為可靠（World's Most Trusted Open Source Firewall）的、可與商業級防火 ...

一、說明 1.1 背景說明 之前只用過dvwa，聽說WebGoat也是類似的平台后，想裝來試試有沒有什么異同。 看了下載文件，和網上官方的、非官方的安裝教程，感覺很多都對不上； 最后發現Web ...

一、攔截https導入證書操作步驟 1.配置瀏覽器對http/https都使用burpsuite代理 http和https是分開的，對http使用了代理並不代表對https也使用了代理，要配 ...

一、背景說明 1.1 面臨問題 最近一份產品檢測報告建議使用基於pki的認證方式，由於產品已實現https，商量之下認為其意思是使用雙向認證以處理中間人形式攻擊。 《信息安全工程》中接觸過雙向認 ...

一、說明 以前去面試被問反序列化的原理只是籠統地答在參數中注入一些代碼當其反序列化時被執行，其實“一些代碼”是什么代碼“反序列化”時為什么就會被執行並不懂；反來在運營商做乙方經常會因為java反反序 ...

一、說明 大概一兩年前在《漏洞戰爭:軟件漏洞分析精要》聽到bindiff（和補丁比較法），但一直都沒去使用。前兩天再回頭看書感覺需要使用一翻，整個過程下來還是遇到了一些問題，值得記錄一番。 ...

一、背景說明 在配置burpsuite代理截包時經常會遇到這樣的情況： 瀏覽器經常自己發一些包（收集用戶信息），干撓滲透測試人員對目標網站的檢測； 如果是代理手機，那就是很多APP都時不時發一些 ...

一、說明 sql注入可能是很多學習滲透測試的人接觸的第一類漏洞，這很正常因為sql注入可能是web最經典的漏洞。但在很多教程中有的只講‘或and 1=1、and 1=2有的可能會進一步講union ...