Windows 通用日志文件系统(CLFS)解析
01关于通用日志文件系统通用日志文件系统(CLFS)是Windows Vista引入的一种新的日志机制,它负责提供一个高性能、通用的日志文件子系统,专用客户端应用程序可以使用该子系统,多个客户端可以共...
邮件可信其一邮件身份可信
前言邮件钓鱼已经是老生常谈。不同的场景下当然有不一样的选择。在攻防演练中,我更加偏向于选择现有知名的邮件服务供应商,例如163、QQ等。因为是国内的演练,不会选择使用国外的邮件服务,更加别提臭名昭著的...
实战 | Post文件上传WAF Bypass总结
本文介绍的思路主要围绕针对于 POST 参数的 multipart/form-data 进行讨论。multipart/form-data 是为了解决上传文件场景下文件内容较大且内置字符不可控的问题。...
提取Maven项目SBOM的坑点
在前些年工作中,我针对Maven、Composer、Pip等主流构建工具/包管理工具写过提取SBOM的插件。如今看来,面对当下的SCA安全工作,之前写的小工具是过于肤浅了。近期测试了国内外几家厂商的S...
fuzzilli IL compiler 适配ubuntu 20.04
fuzzilli IL compiler 是将javascript 编译为fuzzilli 中间语言的工具,可以在fuzz 时导入到fuzzilli ,作为初始化的语料库。 不过看readme 的说明...
DNS解析常见问题:域名解析生效原理及时间
一、域名解析生效原理域名解析生效的过程,是域名和IP绑定的过程。当解析生效后,用户访问域名的实现机制是:由DNS服务器询问域名指向哪个IP地址,再告诉客户端对应的网站空间。 域名解析生效的条件分为两...
SnakeYaml从漏洞探测到利用姿势
反序列化探测使用URLClassLoader探测String poc = "!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader...
高效率开发Web安全扫描器之路(一)
一、背景经常看到一些SRC和CNVD上厉害的大佬提交了很多的漏洞,一直好奇它们怎么能挖到这么多漏洞,开始还以为它们不上班除了睡觉就挖漏洞,后来有机会认识了一些大佬,发现他们大部分漏洞其实是通过工具挖...
针对智能DNS隐私和可用性的用户调查
今天分享的是一篇从用户角度分析智能DNS服务(Smart DNS)隐私和可用性的文章。文章主要由乔治城大学和乔治华盛顿大学的研究人员合作完成。Smart DNS服务能够“智能地”识别受限制地域的解析请...