在渗透测试中，面对部署了特定规则的WAF，直接使用sqlmap往往会被拦截。此时，编写符合目标WAF特征的tamper脚本成为突破的关键手段。本文从技术原理出发，逐步拆解如何为任意WAF量身定制tam...

在网络安全渗透测试中，内网穿透技术始终是个绕不开的话题。当安全研究人员获得内网某台主机的控制权后，如何进一步深入内网环境就成了关键问题。lcx工具作为一款经典的端口转发工具，其正向代理模式提供了一种巧...

当企业把业务搬到线上，网站就成了数字世界的门面。但你知道吗？这扇门每天要面对数以万计的恶意请求，从SQL注入到跨站脚本攻击，黑客们的手段层出不穷。这时候，WAF（Web应用防火墙）就扮演着那个站在门前...

在工具层面，Drozer这类框架曾是移动安全测试的基石，它们教会了我们如何与一个孤立的应用程序“对话”。但如果你现在还把目光局限在单个App的静态漏洞挖掘上，那可能已经有点落伍了。移动应用渗透测试的战...

当登录表单里的密码在提交前就被JavaScript搅得面目全非时，不少新手渗透测试员会下意识地皱起眉头。前端加密，听起来像是给爆破工具套上了一层枷锁。但真相是，这层防护在专业的渗透测试视角下，往往脆弱...

当恶意软件家族开始采用代码混淆、加壳和动态加载技术时，传统的特征码检测就像用渔网捕捉水银。PE格式分析技术正在从静态解析工具演变为恶意软件行为预测的前沿阵地。卡巴斯基实验室2023年的威胁报告显示，超...

关于GitLab WatchmanGitLab Watchman这款应用程序可以帮助广大研究人员使用GitLab API来审查GitLab内部暴露的敏感数据和凭据。功能介绍GitLab Watchma...