0x24bin's Blog

尽管现在呼吁所有的程序都使用unicode编码，所有的网站都使用utf-8编码，来一个统一的国际规范。但仍然有很多，包括国内及国外（特别是非英语国家）的一些cms，仍然使用着自己国家的一套编码，比如gbk，作为自己默认的编码类型。也有一些cms为了考虑老用户，所以出了gbk和utf-8两个版本。 我们就以gbk字符编码为示范，拉开帷幕。gbk是一种多字符编码，具体定义自行百度。但有一个地方尤其要注意： 通常来说...

背景: 适用于由GRUB引导的CentOS,Ubuntu,Debian系统. 使用官方发行版去掉模板预装的软件. 同时也可以解决内核版本与软件不兼容的问题。 只要有root权限,还您一个纯净的系统。 相关文章: [ Linux VPS ] Debian(Ubuntu)网络安装/重装系统一键脚本 [ Linux VPS ] CentOS 网络安装/重装系统一键脚本 纯净安装 [ Linux Shell ] 通用无限制在 Linux VPS 上一键全自动 dd 安装 Windows 注意: ...

介绍： https://github.com/tdragon6/Supershell Supershell是一个集成了reverse_ssh服务的WEB管理平台，使用docker一键部署（快速构建），支持团队协作进行C2远程控制，通过在目标主机上建立反向SSH隧道，获取真正的完全交互式Shell，同时支持多平台架构的客户端Payload，客户端Payload的大小为几MB，可以理解为在目标主机上部署了一个几MB的ssh服务器，然后获取了一个ssh shell；Supershell集成了客户端...

注：本文为“小米安全中心”原创，转载请联系“小米安全中心” 上期回顾：安全扫描自动化检测平台建设（Web黑盒中） 扫描云平台架构设计 随着互联网业务的高速发展，企业业务的快速扩张，传统的安全扫描器已经远远不能跟上企业的脚步，一方面是使用门槛和成本较高，需要专业的安全人员才能使用并发现安全问题，另一方面，传统的以产品为主的交付方式对于互联网企业使用上也存在滞后性，漏洞爆发以后，互联网企...

写在前面： 第一次翻译长篇文档，如有疏漏还请各位大牛指正。OWASP的这篇速查表虽然时间比较久了，但还在更新，所以还是翻译出来了。翻译完发现里面还是有一些值得借鉴的思路，用来涨知识还是可以的。由于篇幅较长，推荐各位可以收藏起来，用的时候再来查=￣ω￣= 1.介绍 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP，内容基于他的XSS备忘...

前言 iOS URL Schemes，这个单词对于大多数人来说可能有些陌生，但是类似下面这张图的提示大部分人应该都经常看见： 今天要探究的就是：了解iOS URL Schemes、如何发现iOS URL Schemes、iOS URL Schemes结合漏洞案例。 iOS URL Schemes 基本概念 抛开iOS从URL Schemes的字面意思理解，就是地址协议（Scheme一般用来表示协议，比如 http、https、ftp 等），我们所熟知的HTTP协议的URL格式就是： http(s):/...

注：本文为“小米安全中心”原创，转载请联系“小米安全中心” 上期回顾：HTTPS原理科普 Web扫描平台的发展 1.原始社会 在Web安全兴起的初期，国内的工具相应缺乏，笔者曾经获取一个注入点数据库的MD5需要手工注入半天时间。 于是相应的安全扫描自动化工具应运而生，其中杰出代表莫过于啊D，穿山甲，和JSKY。感谢前辈给我们创造的自动化工具。这几款工具，可以列入中国网络安全的发展历史。 2.拿来主义 国内乙...

@author : Dlive 在对Android应用进行Web漏洞测试时，经常遇到一种情况：HTTP传输的数据带有签名字段 处理这种情况的方法通常是逆向签名算法，但是如果算法在so中，而且so加壳了，想要逆向出算法也要花很大一番功夫 还有就是可以自己编写app调用so里的签名算法，然后对HTTP传输的数据进行测试 这两种方法都挺麻烦的，并且如果一个app中多处使用了不同的签名/加密算法就更麻烦了 曾经想写一个Android上的代...

介绍 xxx网站卫士是xxx旗下为网站提供免费加速和防护的云服务平台。为站长免费提供了网站加速,智能高防DNS,防DDOS,防CC,防黑客和网站永久在线等服务，是百万站长的共同... 前言 本来不认识xxx网站卫士的，那天chabug群，有位师傅发了张图，他去云锁官网测试SQL绕过，结果发现云锁官网用了qianxin-waf 测试 既然来了测试下，先从容易满足的点出发，我就假设有个参数?xss=后面不用考虑闭合之类的，毕竟...