API让天下没有难做的生意，黑客也是这么认为的。在企业数字化转型如火如荼的今天，API已经远远超出了技术范畴，互联网商业创新和传统企业数字化转型都离不开API经济或者API战略。

对于挖掘src的小伙伴来说第一步都是对资产进行收集，对于大部分的src来说不仅可以提交漏洞还可以提交情报，那么我们这一期主要讲解对资产进行收集的方式方法，下一期再给大家介

原理：用户向数据库里存入恶意的数据，在数据被插入到数据库之前，肯定会对数据库进行转义处理，但用户输入的数据的内容肯定是一点摸样也不会变的存进数据库里，而一般都默认

人是安全管理中最大的安全隐患。不记得这句话从哪里看到的了。不过我们经常会看到类似于从一个司机邮箱渗透到企业重要系统的案例（参考资料1），越来越热的apt攻击也选择人作为

简介 WMI是一项Windows管理技术，其全称是Windows Management Instrumentation，即Windows管理规范。大多数基于Windows的软件依赖于此服务。因此有些黑客会针对WMI进行攻击。本文介绍了 WMI 的攻击和

前言 师弟们经常问我如何黑网站,这个问题答起来不是那么难又不是那么容易,为什么这么说呢? 千里之堤,溃于蚁穴,有时候你只需了解很小 一部分知识却能对看似强大的一个集合造成巨

XSS 攻击是一种攻击者将 JavaScript 代码注入到用户运行页面中的攻击。为了避免这种攻击，一些应用会尝试从用户输入中移除 JavaScript 代码，但这很难完全实现。在本文中会先展示一些尝

在这篇文章中，我将向大家介绍如何编写一个非字母数字的PHP后门。在编写这种PHP后门的时候，我们首先需要了解一些基础知识： (1)了解PHP (2)了解curl或者其他一些能够操作HTTP请求的工

在被新冠疫情常态化影响的今天，职场当中呈现出了严重的两极分化现象，具体的表现形式为： 一些人薪资翻倍、愈加繁忙，另一些人则加入了失业大军、不知所措； 一些行业实现了

BBC 曾发表文章称一名朝鲜高级叛离者指出朝鲜的网军有能力发动可致人类于死地的网络攻击。事实果真如此吗？而美国针对不知秦汉无论魏晋的朝鲜互联网又做了什么？ 判离者谈朝鲜

Begin： 最近很多中小型甚至是大型企业都遭受到了很多的APT攻击 并导致机密数据泄漏或服务器权限被黑客获取等。我们要把这种无耻的商业竞争掐死在萌芽中。 目前市场上APT攻击是新

前言 近日，我们的的态势感知系统成功捕获到一起利用PostgreSQL弱口令批量植入木马的事件。本文将分享我们对此次事件的追踪过程，从攻击方式、用到的工具，到攻击的范围，还原整

去年一直在做日志分析的工作，略有心得，对于恶意攻击我们需要知道啥时候有人攻击我们了，攻击了多少次，这个有利于领导知道你做了哪些工作。从防护者的角度来说，我不止关心

一、身份鉴别 1.1 应启用身份鉴别、 用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数 检查是否按照用户分配账号,避免账

作者通过澳大利亚前总理Tony Abbott在Instagram朋友圈的晒图，从其中的登机牌照片入手，以开源网络情报方式（OSINT）发现了澳大利亚前总理Tony Abbott的详细护照信息。 某个星期天的下午，