- 博客(171)
- 资源 (5)
- 收藏
- 关注
RSS订阅原创 电车的高速之行
上周末回了一趟老家,高速来回行驶了800多公里。所以我很想结合这一次的高速的经验分享一下电车的高速形式经验,或许也能帮助一些鹏友解答电车在高速形式上面的问题。我的车之前的文章也提到过,小鹏...
2021-09-06 21:34:47
352
原创 富文本场景下的 XSS
富文本编辑器是一个常见的业务场景,一般来说,通过富文本编辑器编辑的内容最终也会 html 的形式来进行渲染,比如 VUE,一般就会使用v-html来承载富文本编辑的内容。因为文本内容需...
2021-09-05 21:03:56
2320
转载 提车二月记--小鹏P7
P7 提车也有两个月了,行驶基本上也有 2000 多公里。关于提车的介绍,可以参考我之前的那篇文章「技术宅的第一辆车--小鹏P7」。经过这两个月的行驶,我不仅加深了对 P7 的了解,同时自...
2021-06-26 08:05:00
502
原创 技术宅的第一辆车--小鹏P7
写这篇文章的时候,刚刚从撞车的后悔与悲痛中慢慢恢复而来,也借此机会分享一下这段时间买车的经历吧。前段时间突然勾起来想买车的欲望,就一直想买车。因为是在上海,因为牌照的关系,加上我个人的偏好...
2021-05-02 22:28:04
284
原创 多平台的敏感信息监测工具-GShark
GShark 作为一款开源的敏感信息监测工具其实差不多维护也有两年多的时间。这款产品其实笔者在自己的公司或者平常都在使用,也通过这个工具发现多多起内部的信息泄露事件以及外部的一些的信息泄露...
2021-04-21 08:24:19
1776
原创 JavaScript 能否修改 Referer 请求头
正如题目,本文主题也很直白,主要就是围绕这个问题展开。JavaScript 能否修改 Referer 请求头?现在 JavaScript 的能力越来越强大,JavaScript 似乎无所不...
2021-03-09 22:07:57
10545
原创 微软开源对于 Solorigate 活动捕获的开源 CodeQL 查询
微软开源对于 Solorigate 活动捕获的开源 CodeQL 查询Solorigate 攻击的一个关键方面是供应链攻击,这使攻击者可以修改 SolarWinds Orion 产品中的二...
2021-03-07 11:54:05
261
原创 未授权访问火眼红队工具
未授权访问火眼红队工具概述一个由国家支撑的顶尖的竞争者窃取了火眼的红队工具。因为我们认为竞争者已经拥有这些工具,并且我们不知道攻击者是否打算自己使用被盗的工具还是公开披露它们,所以火眼在...
2020-12-09 10:52:00
545
原创 颈椎康复指南--桌面篇
最近两个月,颈椎的状态一直不是很好。左右无名指和小拇指一直都有麻的症状。后来去医院做了核磁共振,诊断结果是C3-C6的椎间盘突出。虽然后来吃药加上睡得特别早,慢慢恢复了一些,但是手麻的症...
2020-11-15 10:28:23
1065
4
原创 键盘简史
铁打的程序员,流水的键盘。作为一名全栈工程师,怎么能没几把好键盘。今天,就和大家分享一下这几年我体验的这些键盘。当然我并不是一个键盘发烧友,只是喜欢体验不同的键盘的手感,好的键盘真的会带...
2020-11-07 08:21:26
425
原创 iMac2020,真香?
前段时间,苹果发布了最新的 imac 2020。这次的发布好像偷摸摸就发布了,发布之后网上也出现了好多评测。这可能是最后一代使用英特尔芯片的 imac 了。这一代 imac 虽然外观还是...
2020-10-17 13:24:56
523
原创 寻找你的第一个漏洞
最近 Burp Suite 社区有在收集赏金猎人对于新手的一些建议。其实,相对于国外来说,国内的白帽子的生存环境还是比较恶劣的,和国外相比,国内的白帽子的生存环境还需要进一步提高。如果想...
2020-09-02 19:59:50
351
原创 制作属于你自己 github 自我介绍
之前Github 的个人主页里面只可以放一些简单的信息,比如个人状态、博客链接、以及一些代码仓库。最近 Github推出了一个新的功能,假如你创建一个与自己用户名相同的代码仓库,那么...
2020-07-27 21:01:23
3478
3
原创 Hack the box 上线最新炫酷功能
今天群友有人提醒 Hack the box 上线了最新的 Pwnbox,上去体验了一把,非常炫酷。Pwnbox 提供了 ssh 终端连接,以及浏览器客户端的 VNC 端,使用体验不错,这...
2020-05-22 21:50:51
1315
原创 让你的SQL盲注快起来
本文首发于 Freebuf 平台,https://www.freebuf.com/articles/web/231741.htmlSQL 注入是当前 Web 安全中最常见的安全问题之一,...
2020-04-19 14:31:07
733
原创 XSS知解123
跨站脚本攻击(Cross-Site Scripting),为了避免与 CSS 混淆,一般简称为 XSS。XSS 作为一种典型的主要可以分为 3 种:反射型 XSS存储型 XSSDOM 型...
2020-03-05 07:42:51
877
转载 Go Modules 终极入门
Go modules 是 Go 语言中正式官宣的项目依赖解决方案,Go modules(前身为vgo)于 Go1.11 正式发布,在 Go1.14 已经准备好,并且可以用在生产上(rea...
2020-02-27 07:54:33
341
原创 PWK 以及 OSCP 常见问题
OSCP 最近在安全圈子越来越受到认知,Offsec 最近更新了一篇博文,关于 PWK 以及 OSCP 最常见的问题。本文挑一些重点讲一下:什么是 PWK 以及 OSCPPWK 是为信息...
2020-02-20 17:00:06
4884
转载 0202年了, Chrome DevTools 你还只会console.log吗 ?
前言Chrome 开发者工具(简称 DevTools)是一套 Web 开发调试工具,内嵌于 Google Chrome 浏览器中。DevTools 使开发者更加深入的了解浏览器内部以及他...
2020-02-08 19:37:43
355
原创 Haystack - hack the box
IntroductionTarget: 10.10.10.115(Linux)Kali: 10.10.16.61HayStack is an easy box in hack the box. But it does isn't easy at all. It's annoying to find the user and password in the messy Spanis...
2019-11-30 11:08:38
554
原创 GMail XSS 漏洞分析
原文:https://research.securitum.com/xss-in-amp4email-dom-clobbering/译者:https://github.com/neal1991这篇文章是我在2019年8月通过 Google 漏洞奖励计划报告的 AMP4Email 中已经修复的 XSS 的文章。该 XSS 是对著名浏览器问题 DOM Clobbering 的真实利用案例。...
2019-11-20 18:01:00
1169
转载 双十一,程序员可太难了
作者丨唐小智记者丨张晓楠、刘燕、赵钰莹每年的双十一、618 等电商大促,InfoQ 都有从技术的角度去策划专题内容。双十一从 2009 年到现在,刚好也走过了第 11 个...
2019-11-12 18:18:00
530
原创 Chrome 爆出最新漏洞,快更新你的 Chrome
原文:https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/译者:neal1991点击蓝字“madMen”关注我哟摘要卡巴斯基安全防护是卡巴斯基产品的一部分,过去已成功检测到许多零日攻击。最近,为 Google的 Chrome 浏览器发现了一个...
2019-11-02 20:53:04
1237
原创 1024献礼,全栈工程师进击
点击蓝字“madMen”关注我哟作为一名梦想成为一名全栈工程师的男人,收集工具,积攒武器库是一个必要环节。本文主要是自己这些年在学习中积攒的一些工具,这一篇主要是在线网站...
2019-10-24 08:00:00
660
转载 基于MITRE ATT&CK的Red Teaming行动实践
前言如果要评选最近一年内国内信息安全圈最火的一个安全新名词,那一定是“MITRE ATT&CK”了。这个词在其被引入国内的那一刻起,就似乎备受青睐,常见于各种文章...
2019-10-22 18:00:00
1394
原创 黑客入门,从HTB开始
Hack the box 是国外的一个靶机平台,里面的靶机包含多种系统类型,并且里面可以利用的漏洞类型多种多样,有很多靶机其实非常贴近实战情景。因此 HTB 是一个很好的学习渗透测试靶场。之前在 HTB 也玩过一些机器。里面的机器难度有好几个档次,insane 难度的一般都是极其困难的,这种机器一般让我对着大神的 Writeup 我可能都没有办法复现出来。之前也有在公众号上分享过几篇 H...
2019-10-20 20:25:42
48982
107
原创 Kibana 任意代码执行漏洞
点击蓝字“madMen”关注我哟这几天,有人公开了 Kibana 任意代码执行漏洞(CVE-2019-7609)的 POC。这个漏洞的主要原理是因为 Kibana ...
2019-10-18 23:02:24
5003
翻译 Pornhub Web 开发者访谈
原文:Interview with a Pornhub Web Developer译者:neal1991welcome to star my articles-translator, providing you advanced articles translation. Any suggestion, please issue or contact meLICENSE: MIT无论你...
2019-10-15 13:37:39
26243
3
原创 Hack the box: Bastion
介绍目标:10.10.10.134 (Windows)Kali:10.10.16.65In conclusion, Bastion is not a medium box...
2019-10-10 17:31:57
1220
转载 谈一谈安全运营工作是什么
转载自公众号美团安全应急响应中心文丨弼政(职业欠钱),美团基础安全负责人自从一年前写过《我理解的安全运营》(点击阅读原文直达)之后,这一年来,安全运营这个词有一种火了的...
2019-09-30 13:39:28
1974
转载 干货满满的 Go Modules 和 goproxy.cn
大家好,我是一只普通的煎鱼,周四晚上很有幸邀请到 goproxy.cn 的作者 @盛傲飞(@aofei) 到 Go 夜读给我们进行第 61 期 《Go Modules、G...
2019-09-28 11:55:22
644
原创 真香系列之 Golang 升级
Golang 以前的依赖管理一直饱受诟病,社区的方案也层出不穷,比如 vendor, glide, godep 等。之前的依赖管理一直是依靠 GOPATH 或者将依赖代码下载到本地,这种方式都有劣势。另外由于特殊的网络环境,导致谷歌的大部分包都没有办法下载。从 Golang 1.11 开始,官方已内置了更为强大的 Go modules 来一统多年来 Go 包依赖管理混乱的局面,从 1.1...
2019-09-23 19:59:07
637
转载 官宣!VS Code Python 全新功能在 PyCon China 全球首发!
北京时间 2019 年 9 月 21 日,PyCon China 2019 在上海举行。在下午的演讲中,来自微软开发工具事业部的资深研发工程师在演讲中,我们看到了 Azu...
2019-09-22 09:19:43
316
原创 如何写一个 Burp 插件
Burp 是 Web 安全测试中不可或缺的神器。每一个师傅的电脑里面应该都有一个 Burp。同时 Burp 和很多其他神器一样,它也支持插件。但是目前总体来说网上 Bur...
2019-09-01 10:10:51
580
原创 理解跨域资源共享
原文:Understanding CORS译者:neal1991welcome to star my articles-translator, providing you...
2019-08-03 14:10:39
342
原创 check cve
今天想检查一下 Gitlab 11.9.0 产品受哪些 cve 的影响。其实网上已经有很多网站可以查询产品的相关 cve,但就是粒度比较粗。我想在 cve 列表中筛选出特...
2019-07-14 17:29:16
361
原创 持续发布 Chrome 插件
Chrome 插件对于 Chrome 浏览器用户来说是必不可少的利器之一。之前我有开发过一款七牛云图床的 Chrome 插件 image-host。后来由于我自己没有自己...
2019-06-10 08:34:26
261
原创 Holiday -- hack the box
IntroductionTarget: 10.10.10.25(Linux)Kali: 10.10.16.65Holiday is an insane box offic...
2019-05-20 20:18:57
465
原创 Help - hack the box
IntroductionTarget: 10.10.10.121(Linux)Kali: 10.10.16.28To be honest, Help is not a d...
2019-04-22 18:22:00
541
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人