API 安全里最容易被忽视的不是“有没有登录”，而是用户是否有权访问某个对象、某个字段和某个业务动作。本文结合 OWASP API Security Top 10，整理 BOLA 与字段级越权的常见成因、排查重点和落地防护清单。

凭证填充不是简单的“密码输错太多次”，而是撞库、代理池、自动化脚本、弱 MFA 和异常会话共同作用的结果。本文整理登录入口的分层防护思路：密码策略、MFA、速率限制、风控日志、会话保护与产品默认安全。

在CTF比赛中，正则表达式注入是web安全方向中一个精妙而危险的技术。与传统的SQL注入或命令注入不同，正则注入直接针对正则引擎本身，通过精心构造的输入消耗系统资源或绕过匹配逻辑。这种攻击方式在PHP的preg_match、Python的re模块等常见正则函数中都有可能出现。 正则表达式回溯攻击 回溯攻击是最经典的正则注入手法。当正则...

CTF竞赛中的web题目往往让初学者感到无从下手，那些看似随机的漏洞利用背后，其实隐藏着系统化的知识体系。想要真正掌握解题思路，需要像搭建积木一样，从基础组件开始层层构建。 从漏洞类型建立知识框架 与其盲目刷题，不如先梳理web安全的核心漏洞类型。SQL注入、XSS、文件包含、反序列化这些经典漏洞构成了CTF-web题目的基础骨架。就...

在Web渗透测试中有一个关键的测试项：密码爆破。 目前越来越多的网站系统在登录接口中加入各式各样的加密算法，依赖于BurpSuite中的那些编码方式、Hash算法已经远远不够，这里给大家介绍一款支持AES/RSA/DES(即将支持)加密算法，甚至可以直接将加密算法的js运行与BurpSuite中的插件：BurpCrypto。 安装 B...

See-SURF See-SURF是一款基于Python开发的扫描工具，它可以帮助安全研究人员查找并发现目标Web应用程序中潜在的SSRF参数。 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF是要目标网站的内部系统。（因为...

打开页面发现是一个图片，图片当中有一段代码 仔细分析一下，分析如下： 函数Extract：将数组中的键名设置位变量名，键值为变量中的参数，例如有一个数组 $a = arry(“a”=>”111”,”b”=>”222”); 那么经过extract函数处理后如下： Extract($a); 输出的结果就是： $...