微信公众号Bypass

一个网络安全爱好者,对技术有着偏执狂一样的追求。致力于分享原创高质量干货,包括但不限于:渗透测试、WAF绕过、代码审计、安全运维。...

RSS订阅
排序:
默认
按更新时间
按访问量

我的WAF Bypass实战系列

     梳理了一下自己写过的WAF Bypass相关的文章,按照编写时间顺序,汇总成了一个WAF Bypass实战系列,如果你准备了解WAF攻防这一块的内容,可以来了解一下。     WAF Bypass 第一篇:《BypassD盾IIS防火墙SQL注入防御(多姿势)》 第二篇:《Bypa...

2018-06-25 12:30:45

阅读数:133

评论数:0

个人成长|荣获CNVD年度最有价值漏洞奖

本文共750+字,预计阅读2-3分钟。   前几天,很荣幸受主办方邀请,还拿了CNVD的一个“年度最有价值漏洞奖”,说一说,这几天的故事吧。 11月20号,意外收到一个会议邀请,当时还比较诧异,印象中我在CNVD并未提交过多少漏洞。思虑良久,确认接下来没有比较重要的工作安排,还是决定提前一天...

2018-11-30 18:39:00

阅读数:102

评论数:0

【安全开发】Perl安全编码规范

多年以来,Perl已经成为用于系统管理和WebCGI开发的功能最强的编程语言之一(几乎可以使用Perl做任何功能的程序)。但其扩展应用,即作为Internet上CGI的开发工具,使得它经常成为Web服务器上的攻击目标。 另外,大多数CGI脚本有着比一般用户更高的权限,导致它更容易受攻击...

2018-11-30 15:50:00

阅读数:896

评论数:0

【安全开发】C/C++安全编码规范

C本质上是不安全的编程语言。例如如果不谨慎使用的话,其大多数标准的字符串库函数有可能被用来进行缓冲区攻击或者格式字符串攻击。但是,由于其灵活性、快速和相对容易掌握,它是一个广泛使用的编程语言。下面是针对开发安全的C语言程序的一些规范。 1.1.1      缓冲区溢出 避免使用不执行...

2018-11-30 15:49:00

阅读数:1456

评论数:1

【安全开发】IOS安全编码规范

申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-...

2018-11-30 15:47:00

阅读数:1005

评论数:0

【安全开发】python安全编码规范

申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-...

2018-11-30 15:45:00

阅读数:1180

评论数:1

【安全开发】java安全编码规范

申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-...

2018-11-30 15:44:00

阅读数:1220

评论数:1

【安全开发】PHP安全编码规范

申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-...

2018-11-30 15:43:00

阅读数:39

评论数:0

JSONP 劫持漏洞实例

0x01 Jsonp简介 Jsonp(JSON with Padding) 是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。 为什么我们从不同的域(网站)访问数据需要一个特殊的技术(JSONP )呢?这是因...

2018-11-15 14:58:00

阅读数:19

评论数:0

【应用安全】微软的安全开发生命周期(SDL)

0x01 SDL介绍         安全开发生命周期(SDL)即Security Development Lifecycle,是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。 0x02 SDL流程框架         自2004年起,SDL就...

2018-11-14 18:57:00

阅读数:28

评论数:0

【应用安全】用户密码安全存储建议

本文作者:微软SDL(安全开发生命周期)团队资深安全项目经理Bryan Sullivan 原文转载:http://news.mydrivers.com/1/215/215225.htm   安全小测验:存储机密信息最安全的办法是什么? a)      利用 256 位密钥的强对称...

2018-11-14 17:14:00

阅读数:22

评论数:0

宜信漏洞管理平台--洞察搭建

0x01 平台介绍 洞察是宜信安全部用来对公司内部系统所出现的安全漏洞进行线上全生命周期管理的漏洞管理平台。 主要由3部分组成: 应用系统资产管理 漏洞生命周期管理 安全知识库管理 应用系统资产管理:对公司应用系统资产进行管理,包括系统名称、域名、重要级别、部门、负责...

2018-11-06 15:19:00

阅读数:77

评论数:0

ISO27001信息安全管理体系

0x00 前言   初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的游戏规则,几个人的信息安全部生存之道。 0x01 ISO2...

2018-11-05 18:59:00

阅读数:70

评论数:0

【代码审计】CLTPHP_v5.5.3 前台任意文件上传漏洞

0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chichu/cltphp 默认后台地址: http://127.0.0.1/admin/login/i...

2018-10-28 14:04:00

阅读数:83

评论数:0

【代码审计】MIPCMS 远程写入配置文件Getshell

0x00 环境准备 MIPCMS官网:https://www.mipcms.cn 网站源码版本:MIPCMS内容管理系统 V3.1.0(发布时间:2018-01-01) 程序源码下载:http://www.mipcms.cn/mipcms-3.1.0.zip 本地测试网站:   0...

2018-10-28 13:58:00

阅读数:23

评论数:0

【代码审计】EasySNS_V1.6远程图片本地化导致Getshell

0x00 环境准备 EasySNS官网:http://www.imzaker.com 网站源码版本:EasySNS极简社区V1.60 程序源码下载:http://es.imzaker.com/index.php/Topic/gview/id/92.html 默认后台地址:http://12...

2018-10-28 13:53:00

阅读数:16

评论数:0

windows应急响应入侵排查思路

0x00 前言 ​ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: web入侵:网页挂马...

2018-10-28 13:44:00

阅读数:45

评论数:0

Linux应急响应入侵排查思路

0x00 前言 ​ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和...

2018-10-28 13:41:00

阅读数:41

评论数:0

Bypass个人原创文章汇总

​   2018年初,萌生了一个想法,想要去做一些技术沉淀,打造一个个人id。三月份,在T00ls重新注册了一个id叫Bypass,然后创建了同名自媒体公众号:Bypass,用于分享个人原创文章。 前几天登录T00ls的时候,忽然发现用户组变成了粉红色的荣誉会员了,有点小激动。 现将之前写...

2018-10-28 13:06:00

阅读数:19

评论数:0

Linux应急响应(四):盖茨木马

0x00 前言 ​ Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学...

2018-10-07 22:58:00

阅读数:61

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭