前言最近在对一个app进行测试的时候，尝试抓取数据包，发现以前的使用方法失效了，原因是随着安卓版本的提高，对证书的限制越发严格，而我身边的老机子放在学，不在身边，没得办法，只好研究一下怎么绕过这种限制...

如今越来越多的中小型公司选择使用云平台。使用云平台大大降低了企业的资源成本，另一方面随着公用云的普及，也存在着一些风险，最常见的问题就是AccessKey泄漏、配置不当。

之前做题时遇到了无参数RCE这类题，在网上查找资料发现都是零散的Writeup或者payload，没有一篇能够完整涵盖读取文件和命令执行的技巧，所以我花了点时间，将PHP无参数读文件以及命令执行所用到的方法总结了一遍，...

1.1 关于Apache ShiroApache shiro是一个Java安全框架，提供了认证、授权、加密和会话管理功能，为解决应⽤安全提供了相应的API:1.认证-⽤用户身份识别，常被称为用户”登录”2.授权-访问控制3.密码加密-保护或隐...

前言："二进制太难了", 一起到 buu 开始 刷题吧。这里 仅记录下非高分题目的解题思路和知识讲解。特别是文章里的函数，我特意整理了下，希望我能在二进制路上走远！！！not_the_same_3dsctf_2016在这之前我们先来...

前言上次分享了javascript语义分析，并且简单介绍了新型xss扫描器的一些想法，如何在不进行大量fuzz的情况下又能准确的检测出xss漏洞，这其中我们又可以尽量的避免触发waf的xss防护功能！关联文章：XSS语义分析的...

easy_login简单介绍一下什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。...

前言由于X3Scan的研发已经有些进展了，所以对这一阶段的工作做一下总结！对于X3Scan的定位，我更加倾向于主动+被动的结合。主动的方面主要体现在可以主动抓取页面链接并发起请求，并且后期可能参考XSStrike加入主...