web安全

Tue, 21 Apr 2026 11:07:33 +0800 Tue, 21 Apr 2026 11:07:33 +0800 https://www.023niu.com https://www.023niu.com web安全 web安全 https://www.023niu.com https://www.023niu.com https://www.023niu.com 60 https://www.023niu.com Tue, 21 Apr 2026 11:07:33 +0800 <![CDATA[对Electron架构应用程序进行白盒安全测试，通过开放重定向跳转漏洞，提权到远程代码执行漏洞（RCE）。]]>
在对Electron架构应用程序进行的白盒安全测试中，通过该应用程序中的一个开放的重定向跳转漏洞，并在调试功能的帮助下，提权了远程代码执行漏洞（RCE）。]]> 2020-08-27 13:08:03 https://www.023niu.com <![CDATA[漏洞复现分析之通达OA]]>
目标文件用于确定用户是否登录。如果没有登录，则无法上传。因此，删除此文件可以成功上传webshell。]]> 2020-08-20 11:19:08 https://www.023niu.com <![CDATA[AuthMatrix：BurpSuite工具，用于Web应用程序和服务的身份验证和安全性测试]]>
AuthMatrix是Burp Suite工具的插件,可以帮助研究人员对Web应用程序和Web服务的身份验证机制进行安全测试。借助AuthMatrix，测试人员可以专注于特定应用程序的用户表，权限，角色和请求]]> 2020-08-04 13:20:04 https://www.023niu.com <![CDATA[Android APP静态分析存储不安全和密码的硬编码泄漏，导致登录短信管理系统并劫持短信接口配置]]>
Android APP静态分析存储不安全和密码的硬编码泄漏，导致登录短信管理系统并劫持短信接口配置。]]> 2020-03-14 00:41:36 https://www.023niu.com <![CDATA[执行分段免杀，使用Xor加密具有不同密钥的弹出cmd程序]]>
编写shellcode时，如何在执行时进行解码，然后调用并解码，然后在解码后执行？分阶段执行，并且解密密钥不同。]]> 2020-03-13 17:07:33 https://www.023niu.com <![CDATA[登录、注册、账号、密码、验证码等表单渗透经验介绍]]>
在甲方授权的渗透测试中，经常会遇到各种形式表单：登录，注册，帐户，密码，验证码和其他形式。本文着重介绍各种表单形式的渗透经验。]]> 2020-03-06 16:56:41 https://www.023niu.com <![CDATA[Pikachu靶场复现钓鱼攻击之Basic认证后数据无法发送到后台，PHP的HTTP身份验证机制仅在PHP作为Apache模块运行时有效]]>
Pikachu靶场复现钓鱼攻击之Basic认证后数据无法发送到后台，重复弹出认证提示框原因分析及解决方法，PHP的HTTP身份验证机制仅在PHP作为Apache模块运行时有效。]]> 2020-02-27 15:56:33 https://www.023niu.com <![CDATA[使用CentOS8和NGINX尝试ModSecurity启动Web应用程序WAF]]>
尝试使用ModSecurity启动Web应用程序并在测试环境中运行。测试环境由NGINX CentOS8设备组成，结果比预期的要难得多。]]> 2020-02-22 14:02:16 https://www.023niu.com <![CDATA[网站或软件系统上线前对注册功能的安全测试]]>
应用程序系统都有一个注册模块。非法用户则通过注册模块来达到难以言喻的目的，通过注册模块与服务器进行交互（用户输入不可信），因此在系统联机之前，必须在注册模块上执行测试。]]> 2020-02-21 13:51:54 https://www.023niu.com <![CDATA[从WEB安全的角度介绍hihttps如何通过机器学习自动生成对抗规则的5个过程]]>
hihttps是一个免费的Web应用程序防火墙，支持无监督机器学习，自主对抗，重新定义Web安全性。从WEB安全的角度介绍hihttps如何通过机器学习自动生成对抗规则的5个过程。]]> 2020-02-18 14:37:04 https://www.023niu.com <![CDATA[减少企业遭受Windows设备网络上的凭据转储攻击漏洞的五个技巧]]> 2020-02-18 14:18:15 https://www.023niu.com <![CDATA[GetShell思路之phpMyadmin：基于PHP的MySQL数据库管理工具，使网站管理员可以通过Web界面管理数据库。]]>
基于PHP的MySQL数据库管理工具，使网站管理员可以通过Web界面管理数据库。本部分主要收集网站的物理路径，否则将无法通过URL连接Shell。]]> 2020-02-10 14:17:10 https://www.023niu.com <![CDATA[开源安全模块modsecurity测试攻击有效载荷加密，WebShell流量检测的WAF性能分析]]>
首先，在本地快速重现对手的环境，其次，配置多种加密组合以形成攻击有效载荷，第三，使用开源安全模块modsecurity在加密后测试攻击有效载荷的效果。]]> 2020-02-08 10:06:01 https://www.023niu.com <![CDATA[WAF防御及WAF的上传绕过手段]]>
WAF（Web Application Firewall）只是一种产品，它实现了一系列HTTP HTTPS安全策略以为Web应用程序提供保护。上传绕过不算什么技术了，正所谓未知防，焉知攻。]]> 2020-02-06 11:02:09 https://www.023niu.com <![CDATA[开源WAF：Web应用防护系统，信息安全技术，以成品文档为例测试评估开源WAF，可有效阻断大部分黑客攻击，对0day有着一定的防御作用]]>
开源WAF：Web应用防护系统，信息安全技术，以成品文档为例测试评估开源WAF，可有效阻断大部分黑客攻击，对0day有着一定的防御作用。]]> 2020-01-31 11:55:54 https://www.023niu.com <![CDATA[自动发现IDOR（越权）漏洞的方法：使用BurpSuite中的Autozie和Autorepeater插件来检测和识别IDOR漏洞，而无需手动更改每个请求的参数]]>
自动发现IDOR（越权）漏洞的方法：使用BurpSuite中的Autozie和Autorepeater插件来检测和识别IDOR漏洞，而无需手动更改每个请求的参数 ]]> 2020-01-30 14:04:47 https://www.023niu.com <![CDATA[谷歌翻译服务（Google Translator）越翻英界面中存在的跨站漏洞（XSS）：针对HTML标签功能未做完善的过滤和编码规则]]>
谷歌翻译服务（Google Translator）越翻英界面中存在的跨站漏洞（XSS）：针对HTML标签功能未做完善的过滤和编码规则。]]> 2020-01-28 12:07:19 https://www.023niu.com <![CDATA[人机验证（Captcha）绕过方法：使用Chrome开发者工具在目标网站登录页面上执行简单的元素编辑，以实现Captcha绕过]]>
人机身份验证（Captcha）通常显示在网站的注册，登录名和密码重置页面上。以下是目标网站在登录页面中排列的验证码机制。从上图可以 ]]> 2020-01-26 12:44:09 https://www.023niu.com <![CDATA[XSpear：XSS扫描与参数分析工具，基于Ruby开发，支持Config文件]]>
XSpear是功能强大的XSS扫描和参数分析工具。该工具基于Ruby。大多数研究人员可以将XSpear用作XSS扫描工具，并确保目标应用程序的安全性。]]> 2020-01-19 11:39:06 https://www.023niu.com <![CDATA[Tishna:针对Web安全分析的Web服务器安全渗透测试软件]]>
Tishna是一个功能强大的自动化Web应用程序渗透测试框架，Web安全研究人员可以使用此工具在Web服务器和应用程序层上执行安全性分析，本质上，Tishna是网络安全领域中的“瑞士军刀”。]]> 2020-01-15 09:39:38 https://www.023niu.com