在渗透测试中，面对部署了特定规则的WAF，直接使用sqlmap往往会被拦截。此时，编写符合目标WAF特征的tamper脚本成为突破的关键手段。本文从技术原理出发，逐步拆解如何为任意WAF量身定制tam...

大家一提到hosts文件，是不是立刻想到“哦，那个用来屏蔽广告或者不让娃上某些网站的东西”？说实话，我以前也是这么想的，直到有一次，我用它干了一件让我自己都拍案叫绝的事儿。 那次我急着要测试一个刚做好...

安全工程师在渗透测试过程中经常需要修改HTTP请求头，而Accept-Encoding字段的处理往往暗藏玄机。最近在实际测试中，不少同行都栽在了这个看似简单的参数注入问题上——特别是当原始请求已经包含...

去年某科技公司的内部审计发现了一个令人震惊的事实：在三个月内，超过40%的员工考勤记录来自自动化脚本。这个数字背后隐藏的不仅是考勤作弊问题，更暴露了OA系统在安全防护上的巨大漏洞。自动化脚本攻击已经从...

下载抓包软件打开，发现里面频繁出现Telnet连接产生的数据，由于Telnet是明文传输的，思考一下可能会看到明文的账号和密码，于是对数据包进行过滤 从这个数据包开始可以看到出现了Telnet登录的信...