腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
腾讯云架构师技术同盟
文章/答案/技术大牛
搜索
搜索
关闭
发布
首页
学习
活动
专区
工具
TVP
腾讯云架构师技术同盟
返回腾讯云官网
安全泰式柑汁
专栏成员
举报
24
文章
60069
阅读量
12
订阅数
订阅专栏
申请加入专栏
全部文章(24)
https(11)
网络安全(10)
php(6)
api(5)
安全(5)
java(4)
html(4)
腾讯云测试服务(4)
编程算法(4)
javascript(3)
github(3)
python(2)
xml(2)
json(2)
git(2)
unix(2)
短信(2)
网站(2)
http(2)
tcp/ip(2)
验证码(2)
node.js(1)
phpmyadmin(1)
django(1)
linux(1)
apache(1)
spring(1)
数据加密服务(1)
容器(1)
kubernetes(1)
开源(1)
黑客(1)
爬虫(1)
ssh(1)
spring boot(1)
grep(1)
markdown(1)
iis(1)
spring cloud(1)
微信(1)
小程序(1)
物联网(1)
腾讯云开发者社区(1)
任务调度(1)
es(1)
case(1)
onload(1)
xss(1)
遍历(1)
漏洞(1)
搜索文章
搜索
搜索
关闭
XSS绕过WAF之on属性
case
onload
xss
遍历
漏洞
日常测试的时候遇到的一个case,存在XSS漏洞,但是WAF把 onload,onerror,onstart等常用的on属性都过滤了。
瓦都剋
2022-08-30
1.2K
0
企业安全建设SIEM之K8s日志审计策略
tcp/ip
kubernetes
api
容器
https
Master节点开启日志审计,API Server配置文件的目录是/etc/kubernetes/manifests/kube-apiserver.yaml
瓦都剋
2022-04-27
760
0
蓝军技巧之SSRF利用方法
安全
网络安全
api
es
apache
SSRF漏洞在互联网公司中应该是除了越权之外最普遍的漏洞了。关于漏洞的原理,绕过,传统的扫端口、各种探测等利用方式等就不再赘述,这里分享下自己作为企业蓝军中常用的一些SSRF的利用途径。
瓦都剋
2022-03-30
2.2K
0
短链接安全
php
https
编程算法
短信
网站
短链接一般是通过映射关系,将长长的一串网址,映射到几个字符的短链接上,建立好这种映射关系之后保存到数据库里,用户每次访问短链接的时候,需要到数据库里查询这个短链接对应的源网址,然后返回给用户。
瓦都剋
2021-02-02
3.5K
0
白帽赏金平台XSS漏洞模糊测试有效载荷最佳集合 2020版
html
javascript
java
php
网络安全
该备忘清单可用于漏洞猎人,安全分析,渗透测试人员,根据应用的实际情况,测试不同的payload,并观察响应内容,查找web应用的跨站点脚本漏洞,共计100+条xss漏洞测试小技巧。
瓦都剋
2020-12-17
9.6K
0
渗透测测之“list”查询页面利用技巧
安全
网络安全
api
html
近期在处理接口越权漏洞的问题,在前期漏洞测试、调研的时候发现部分“list”的查询功能的越权漏洞可通过一些特殊技巧来获取更多的数据、扩大漏洞影响。
瓦都剋
2020-12-03
683
0
渗透测测技巧之手机号爆破
验证码
短信
腾讯云测试服务
某次内部渗透测试的时候遇到登录处无图形验证码、频次等限制机制,这种是需要整改的,但是如果没挖到有效的漏洞可能就会被开发小哥哥挑战,让人整改也就没底气,遂进一步利用了下。
瓦都剋
2020-10-27
8.6K
0
长亭WAF XSS防护绕过小记
编程算法
java
php
腾讯云测试服务
某次业务上线常规安全测试,有记录操作的功能,猜测存在存储型XSS漏洞,但由于存在长亭WAF被拦截。遂将之前总结的XSS绕过手段逐一测试了下。
瓦都剋
2020-10-27
6K
1
应急响应笔记之Linux篇
grep
ssh
unix
linux
网站
整理下自己之前做的应急响应相关的碎片笔记,太多了,没办法全部列出来,先整理一些常用的。
瓦都剋
2020-08-07
1.1K
0
面向渗透测试和SRC的之子域名挖掘技巧
tcp/ip
小程序
微信
物联网
网络安全
由于现实的种种原因,我们不可能将所有子域名放到内网中或者绑定白名单IP访问,所以如果灰黑产人员发现不到公司的敏感子域名,那么就该子域名而言,被攻击的可能性就会降低那么一点、风险也自然会减少一点。
瓦都剋
2020-08-07
1.1K
0
基于Django和clean-blog前端框架的博客系统
腾讯云开发者社区
markdown
https
django
网络安全
这周总算是稍微有点自己的空闲时间了,趁下班时间赶紧撸点代码,之前找前端框架的时候找到个自我感觉挺好看、简约的博客模版,所以用Django实现了下。
瓦都剋
2020-08-07
680
0
免费代理池的实现与优化
任务调度
api
python
json
你想将一个只读属性定义成一个property,并且只在访问的时候才会计算结果。但是一旦被访问后,你希望结果值被缓存起来,不用每次都去计算。
瓦都剋
2020-08-07
533
0
XSS Cheat Sheet
https
http
java
github
git
https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
瓦都剋
2020-08-07
2.3K
0
基于PhantomJS的动态爬虫引擎
java
爬虫
javascript
https
github
之前学习爬虫的时候一直了解、学习的是基于PhantomJS的,虽然Chrome的headless更加优秀、比PhantomJS更快、占用内存更少,而且还有个强大的爸爸。但是也不能把之前的学的给荒废了,先实践下再说,况且这种东西大部分应该是都是互通的。
瓦都剋
2020-08-07
1.7K
0
PHP常见过WAF webshell及最简单检测方法
php
编程算法
在那篇文章中我突然想到一种检测webshell的方法,就是首先获取到当前文件中的所有变量(不明白的可以先去看下之前的文章),然后再根据正则库进行静态检测。
瓦都剋
2020-08-07
1.5K
0
渗透测试中文件上传技巧
安全
iis
html
xml
https
根据语言、解析漏洞、中间件、系统特性以及一些绕过WAF的方法:黑名单、大小写、ADS流、截断、空格、长度、htaccess等生存文件名字典。
瓦都剋
2020-08-07
1.4K
0
如何设计一个安全的外部接口?
unix
http
https
黑客
安全
目前,大部分的业务系统需要提供公网域名、IP进行访问,若涉及用户个人信息、支付交易、订单信息等有关接口,那么接口的安全性就相当重要了。
瓦都剋
2020-08-07
1.5K
0
PC(C/S架构)客户端测试笔记
https
网络安全
github
git
开源
•web为B/S架构,服务端更新后,刷新一下页面就同步更新了•PC、APP为C/S架构,服务端更新后,需要对各个主流版本进行兼容测试及回归测试,客户端更新的话,需要重新安装或升级应用
瓦都剋
2020-08-07
2.8K
0
渗透测试之API测试技巧
api
https
xml
网络安全
json
若API形式为: /api/v3/login,那么可尝试 /api/v2/login, /api/v1/login等。
瓦都剋
2020-08-07
1.6K
0
口令爆破之突破前端JS加密
腾讯云测试服务
node.js
javascript
php
验证码
近期安全测试时发现一个系统前台使用了SSO,但是在比较隐蔽API中发现了后台的登录接口,该接口未使用SSO,同时没有图形验证码等校验,通过分析最终爆破进入后台。
瓦都剋
2020-08-07
1.8K
0
点击加载更多
社区活动
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档
