- 博客(64)
- 收藏
- 关注
RSS订阅原创 【BurpSuite 插件开发】实战篇(十六-终章)性能优化实践:线程管理到正则匹配的全方位提升
在前面章节中,作为 Burp 插件的设计初期,往往更关注功能实现(如请求发送、响应解析、规则匹配等),而忽略了性能优化。随着测试场景的复杂化(如批量请求处理、复杂正则规则验证),这些"重功能、轻性能"的设计会逐渐暴露问题:多线程管理混乱导致资源浪费、串行处理大量请求导致耗时过长、字符串和正则操作低效导致CPU占用过高……本文将围绕当前插件代码的核心性能瓶颈,从线程池优化、并行处理机制、字符串与正则表达式处理三个维度,详细讲解如何通过代码优化提升工具性能。
2025-08-26 13:09:13
672
原创 【IDEA 自研插件】代码安全审计利器,一键排查接口权限
在 SpringBoot 项目开发中,接口权限管控和拦截器实现的安全性是代码安全审计的核心环节。SpringBoot Scanner 是我自研的一款插件,专为解决这一需求而生,不仅能高效扫描项目中的 URL 路由信息,更聚焦于接口权限注解的有无、自定义权限注解的合规性检查,同时自动识别所有拦截器实现类,帮助开发团队和安全审计人员快速定位权限管控缺失点、拦截器配置疏漏等潜在安全风险。插件使用效果如下,插件下载地址见文章结尾。
2025-08-25 10:21:29
695
1
原创 【BurpSuite 插件开发】实战篇(十五)实现插件配置保存与恢复功能
在安全测试工作中,插件工具的配置管理往往直接影响测试效率与准确性。无论是临时请求头的定制、规则列表的筛选逻辑,还是各类复选框的状态设置,都需要测试人员根据场景反复调整。然而,手动重复配置不仅耗时,更可能因操作疏忽导致测试环境不一致,进而影响结果可信度。尤其在团队协作场景中,如何快速共享配置、复现测试环境,成为提升工作流效率的关键问题。基于此,我在Burp插件的“保存/恢复”标签页中新增了配置保存与恢复功能。
2025-08-24 11:24:16
1209
5
原创 Honggfuzz 的环境搭建与使用案例总结
Honggfuzz 是一款由 Google 开发的高效模糊测试(Fuzzing)工具,主要用于发现软件中的内存安全漏洞(如缓冲区溢出、使用-after-free 等)。以下是在 Ubuntu 系统中搭建 Honggfuzz 环境及使用案例的详细步骤。本文所有操作基于 Ubuntu 22.04.5 LTS环境搭建:通过安装依赖工具(git、clang 等)、克隆源码并编译安装,完成 Honggfuzz 部署,可通过版本验证确认安装成功。实战流程。
2025-08-23 08:20:20
1171
原创 【BurpSuite 插件开发】实战篇(十四)测试报告导出功能设计与实现
本文将围绕Burp插件工具的"报告导出"功能展开,详细介绍其设计思路、代码实现与结构优化。该功能支持HTML和CSV两种格式导出,可按"全部"“被绕过”“待确认”"可防御"等测试结果状态筛选数据,并提供重复项去除能力,确保导出的报告既贴合测试面板的原始展示,又能满足多样化的分析需求。同时,我们还将探讨如何通过合理的代码结构拆分,提升功能的可维护性与扩展性,为后续功能迭代奠定基础。实现的插件效果如下,文章结尾查看完整代码。
2025-08-21 11:58:57
957
2
原创 LibFuzz 模糊测试实战入门指南
libfuzz(全称 LLVM LibFuzzer)是一个开源的模糊测试引擎,由 LLVM 项目开发,用于对 C/C++ 代码进行内存安全测试(如检测缓冲区溢出、使用后释放等漏洞)。它通过生成随机输入数据、监控程序执行路径,并利用代码覆盖率引导测试,高效发现潜在漏洞。所有操作基于 Ubuntu 22.04.5 LTS本文围绕 LLVM LibFuzzer 模糊测试引擎,为安全测试人员提供了从环境搭建到实际应用的完整指南。模糊测试实践时长建议。
2025-08-20 08:56:05
1300
2
原创 【BurpSuite 插件开发】实战篇(十三)插件请求拦截过滤机制的设计与实现
在Web安全测试过程中,测试人员常常面临一个棘手的问题:目标系统会产生大量请求,其中混杂着静态资源(如.js、.css文件)、预检请求(如OPTIONS方法)或与测试目标无关的接口(如监控接口/actuator)。这些无关请求不仅会消耗测试资源、延长测试时间,还会干扰测试结果的分析——大量无效数据可能掩盖真正的安全风险(如未授权访问、权限越界)。为解决这一问题,聚焦核心测试目标,我们需要一套灵活、精准的请求拦截过滤机制。
2025-08-18 11:06:45
961
2
原创 【BurpSuite 插件开发】实战篇(十二)204/304响应码处理功能的实现详解
对于刚接触网络安全测试的小白来说,“响应码”可能是一个既熟悉又陌生的概念。我们在浏览网页时,偶尔会遇到“404 Not Found”(页面不存在)、“500 Internal Server Error”(服务器出错)等提示,这些就是HTTP响应码——服务器对客户端请求的“回复状态”。但除了这些常见的错误码,还有一些特殊的响应码(比如204、304),在权限测试中可能会成为“隐形干扰项”,影响测试结果的准确性。权限测试的核心目标是:验证系统是否能正确控制“谁能访问什么资源”。
2025-08-17 12:04:22
1401
2
原创 【BurpSuite 插件开发】实战篇(十一)适配请求导入与日志优化
对于安全小白来说,刚开始接触 BurpSuite 可能会觉得眼花缭乱,但随着对工具的深入了解,就会发现很多时候自带功能并不能完全满足特定场景的需求。比如,在使用 Repeater(用于重复发送请求并查看响应)或 Intruder(用于批量发送请求进行爆破等测试)时,想要将其中的请求快速导入到自己开发的插件中进行进一步处理,却发现没有现成的功能支持;又或者在插件运行过程中,日志信息混乱,控制台打印和异常抛出混用,导致调试和问题排查变得困难。
2025-08-16 11:01:41
1111
2
原创 从环境搭建到漏洞挖掘:AFL++ 模糊测试实战全指南
在网络安全与软件质量保障领域,模糊测试(Fuzz Testing)作为一种高效的漏洞挖掘技术,已成为攻防对抗中的关键武器。而作为模糊测试工具中的佼佼者,凭借其强大的漏洞发现能力、灵活的适配性和持续的技术迭代,成为了安全研究者、逆向工程师和开发团队的必备工具。AFL++ 是经典模糊测试工具 AFL 的增强版,继承了原工具轻量高效的核心设计,同时融合了数十项技术改进与社区贡献的创新特性。它通过智能生成测试用例实时跟踪程序执行路径和动态优化测试策略。
2025-08-15 18:37:52
1407
2
原创 【BurpSuite 插件开发】实战篇(十)权限测试集成配置规则
继上一章我们实现了规则配置的界面,本文就将聚焦“配置规则判断”功能是如何实现。最终效果:文章结尾查看完整代码。规则匹配成功 → 可防御;规则匹配失败 + 响应体与原始相同 → 被绕过;规则匹配失败 + 响应体与原始不同 → 待确定。这3条逻辑看似简单,却是后续代码实现的核心依据,所有功能都是为了准确应用这3条规则。本章节梳理了功能的完整使用流程:用户开启功能→配置规则→执行测试→查看结果。
2025-08-13 12:52:42
832
2
原创 【Web安全】HTML5安全基础指南:从入门到避坑——小白也能看懂的安全防护手册
随着互联网的飞速发展,HTML5作为构建Web页面的核心技术,为我们带来了更丰富的功能和更流畅的用户体验——从视频播放、跨域通信到本地数据存储,HTML5的新特性让网页不再局限于简单的文字和图片展示。但这些强大的功能在便利我们的同时,也埋下了不少安全隐患。HTML5的安全风险就藏在日常开发的细节里:一个未加限制的iframe、一段没做校验的跨域消息、一个随意使用的本地存储……稍有不慎,就可能被攻击者利用,导致用户信息泄露、网页被篡改甚至服务器被攻击。
2025-08-11 19:09:04
854
2
原创 【BurpSuite 插件开发】实战篇(九)规则配置界面实现指南(低权限与未授权防御)
本文作为系列的第9篇,将聚焦核心功能如下:实现“低权限防御规则”和“未授权防御规则”的配置界面,包括界面布局、规则管理(添加/修改/删除)、规则类型设计等核心内容。即使你没有太多编程基础,也能通过本文理解安全工具中规则配置功能的底层逻辑。最终效果:文章结尾查看完整代码。在设计规则类型前,我们需要先明确:安全工具通过什么“依据”判断请求是否存在低权限或未授权风险?通常,工具会分析服务器的响应(包括状态码、响应头、响应体),因此规则也围绕这三类信息设计,同时支持“取反”(即“不等于”“不包含”)。
2025-08-09 11:01:34
1240
2
原创 【BurpSuite 插件开发】实战篇(八)权限测试结果判断与界面展示实现
通过代码逻辑自动判断权限测试的结果(可防御、被绕过、待确认)在工具界面中用颜色标记结果,绿色代表“安全”,红色代表“危险”,黄色代表“需要进一步检查”,让测试结果一目了然。最终效果:文章结尾查看完整代码。本章我们实现了权限测试工具的两个核心功能:自动判断结果和颜色可视化展示,让工具真正“能用”且“好用”。判断逻辑:通过对比原始响应和测试响应的“响应码”和“响应体”,将结果分为“可防御”(绿色)、“被绕过”(红色)、“待确认”(黄色);工具类设计包含结果枚举(TestResult)和判断方法(
2025-08-07 10:08:06
1048
2
原创 【BurpSuite 插件开发】实战篇(七)添加未授权访问请求功能
本章主要实现 “模拟未授权场景”——比如删除请求中的登录凭证(像Cookie、Token这些用来证明“已授权”的信息),然后看看能不能正常访问目标。为了让这个过程更高效,我们在插件面板中添加一个“未授权检测”功能,一键模拟未授权请求并查看结果。本文我们会具体讲解如何在已有的工具基础上,添加“检查未授权”的开关、构造并发送无权限请求,以及在界面上展示检测结果。文章结尾查看完整代码。添加检查开关:通过JCheckBox组件在界面上添加“检查未授权”复选框,让用户可以控制是否执行未授权检测。
2025-08-05 15:29:13
1327
2
原创 【BurpSuite 插件开发】实战篇(六)实现自定义请求头的修改与请求测试
当你在测试一个网站的权限控制时,可能需要反复修改请求中的Cookie、User-Agent等信息,观察不同身份下服务器的响应。如果每次都手动修改,不仅效率低下,还容易出错。而我们今天要实现插件的部分功能,能帮你自动完成这些重复工作。本文从添加一个“开始测试”按钮,到如何让插件正确修改请求头,再到如何通过右键菜单快速使用插件功能。最后优化之前章节关于插件右键菜单项的逻辑处理。文章结尾查看完整代码。区分请求和Cookie两种菜单项类型。
2025-08-04 13:44:44
1168
2
原创 【BurpSuite 插件开发】实战篇(五)实现请求 Cookie 提取和清空插件列表
本章主要围绕两个核心功能展开实现。一是请求 Cookie 提取功能,通过在配置中心添加临时请求头界面,实现将选中请求的 Cookie 信息发送到 UI 界面的临时请求头文本区域,方便用户查看和使用;二是清除请求列表功能,包括在界面上添加清空列表按钮,并实现点击按钮后清空表格数据、请求响应列表以及相关文本显示区域的逻辑,以保证插件列表数据的整洁和管理便捷性。文章结尾查看完整代码。
2025-08-01 12:22:46
1187
2
原创 【实战案例】基于接口解耦缺陷的 “验证码分离” 安全漏洞深度剖析
今天,我们要聚焦的就是这样一个典型案例 —— 某系统登录接口因验证码验证与登录请求分离而存在的设计缺陷。这个被评定为 “中危” 的漏洞,看似影响有限,却可能成为攻击者实施撞库攻击的突破口,给系统安全带来极大威胁。接下来,我们将从案例分析、测试方法到安全防御,全方位拆解这一漏洞,让即使是安全小白也能透彻理解其中的门道。此次存在漏洞的系统地址为,其登录相关的接口主要有两个:在正常的登录流程中,步骤如下:然而,问题就出在这两个接口是相互分离的。这意味着,攻击者可以绕过图片验证码的验证环节,直接调用登录接口进行账户
2025-07-31 10:33:30
1053
2
原创 网络端口号全景解析:从基础服务到特殊应用的完整指南
在TCP/IP网络体系中,端口号是识别应用程序的数字标识,如同通信链路中的"门牌号"。互联网名称与数字地址分配机构(ICANN)为TCP和UDP协议预留了从1到65535的端口范围,不同端口对应不同的网络服务或应用。以下是对各类端口的全面梳理,涵盖从基础服务到特殊场景的所有主要端口信息。端口号是网络通信的"交通信号灯",每种服务通过固定端口实现标准化交互。了解端口功能有助于网络配置、安全防护和故障排查——例如关闭不必要的端口可减少攻击面,限制特定端口访问能增强系统安全性。
2025-07-30 20:03:07
961
2
原创 【实战案例】从“未上锁的门“到服务器沦陷:Docker Remote API未授权访问漏洞深度解析
90%的高危漏洞都源于基础配置错误。就像案例中的企业,可能只是管理员在配置Docker时多写了一行,却为攻击者打开了一扇大门。对于安全小白来说,不需要一开始就掌握复杂的技术,而是要养成"安全配置"的习惯:安装软件后检查默认密码是否修改、开放端口是否必要、权限设置是否合理。这些看似微小的操作,恰恰是抵御大多数攻击的第一道防线。在网络安全的世界里,没有"绝对安全",但永远有"更安全"的选择。从今天开始,检查一下你负责的服务器——那扇"未上锁的门",可能就在某个被忽略的角落。
2025-07-30 09:57:21
1074
原创 【BurpSuite 插件开发】实战篇(四)获取原始请求数据并在插件面板显示
本文将详细介绍 PermissionTest 插件的核心功能实现 —— 从 Proxy 模块获取 HTTP 请求数据,通过自定义面板展示,并支持请求 / 响应详情查看。通过本文,你可以掌握 Burp 插件中数据传递、UI 布局设计及交互逻辑的实现方法。数据传递链路:通过上下文菜单将请求数据从 Burp 核心模块传递到自定义面板,解决了「数据来源」问题。UI 布局设计:采用「左侧表格 + 右侧多标签页」的布局,清晰区分请求列表和详情,为后续功能扩展预留了空间。交互逻辑。
2025-07-29 17:02:23
745
1
原创 【Web安全】验证码逻辑漏洞:小白也能懂的原理、场景与防御
在Web应用中,验证码是抵御自动化攻击的“第一道防线”——它通过让用户完成简单的人机识别(如输入数字、点击图片),防止机器人批量注册账号、暴力破解密码、刷取优惠券等恶意行为。但如果验证码的校验逻辑出了问题,这道防线就会变成“纸糊的墙”:攻击者无需破解复杂算法,只需利用逻辑漏洞就能轻松绕过验证,给系统带来账号被盗、数据泄露、业务滥用等风险。本文将用最通俗的语言,带你搞懂验证码逻辑漏洞的本质、攻击者的套路、常见风险场景及防御方法,即使是安全小白也能快速入门。验证码逻辑漏洞看似五花八门,但本质都是。
2025-07-27 11:15:08
1243
2
原创 【Web安全】深入浅出理解“SQL注入-伪静态注入”及空格限制绕过技巧
本文介绍了伪静态注入的原理及绕过空格限制的方法。伪静态注入是针对伪装成静态页面的动态URL发起的SQL注入攻击,其本质是参数过滤不严导致的漏洞。文章重点讲解了四种绕过空格限制的技巧:使用注释符(如/**/)、不可见字符URL编码(如%09)、括号分隔语句以及特殊符号替代(如反引号)。这些方法通过替代空格的分隔作用,使注入语句在过滤环境下仍能被数据库正确解析。文章强调需结合数据库类型和过滤规则灵活运用这些技巧,并提供了相关示例说明。
2025-07-27 10:55:47
734
原创 【Web安全】逻辑漏洞之URL跳转漏洞:原理、场景与防御
在Web安全的逻辑漏洞里,URL跳转漏洞可能不像支付漏洞那样直接关联金钱,但它却像一个“恶意导航员”,能悄无声息地把用户引向钓鱼网站、病毒页面,进而导致账号被盗、信息泄露等问题。简单说,当你点击一个“安全链接”,本应跳转到官方网站,结果却跳到了骗子仿造的假网站——这背后可能就是URL跳转漏洞在搞鬼。它的危害不在于复杂的技术,而在于利用用户对“正规网站”的信任,完成钓鱼、诈骗等攻击。URL跳转漏洞的本质,是服务器对“跳转地址”的校验太松懈,让攻击者有机可乘。
2025-07-25 09:25:36
1137
1
原创 【BurpSuite 插件开发】实战篇(三)插件 UI 组件界面开发
本章节完成 PermssionTest 插件 UI 组件界面布局的开发,包含插件菜单和插件面板。Extension 类是插件入口,负责初始化和注册其他组件。MenuItemProvider 类提供右键菜单功能,允许用户将请求发送到插件面板。PermissionTestPanel 类实现了插件的主界面,包括左侧的请求列表和右侧的标签面板。采用 BorderLayout 和 JSplitPane 实现了左右分栏布局,请求列表使用 JTable 实现。
2025-07-24 15:56:32
661
原创 【Web安全】小白也能懂的并发漏洞:原理、场景与防御
本文介绍了Web安全中的并发漏洞原理与防御。并发漏洞的本质是系统未能正确处理同时发生的多个操作,导致业务规则被绕过,而非并发本身的问题。文章通过生活化案例(如超市限购、投票刷票)解释了漏洞触发流程,并列举了问卷重复提交、绕过数量限制等典型场景。检测方法包括黑盒模拟并发请求和白盒代码审计。防御方案提出加锁机制、请求频率限制、事后校验和日志监控四种措施。核心观点是并发漏洞源于系统对并发操作的处理缺陷,通过识别重复操作和业务规则保护可有效防范。
2025-07-23 10:15:29
1186
2
原创 【Web安全】逻辑漏洞之支付漏洞:原理、场景与防御
摘要: 支付漏洞是Web安全中危害严重的逻辑漏洞,攻击者通过篡改订单生成阶段的参数(如金额、商品ID、折扣等),利用服务器校验缺陷实现低价或免费支付。常见场景包括隐藏商品购买、付费功能绕过、订单类型篡改等。检测方式包括黑盒测试(参数篡改)和白盒审计(校验逻辑排查)。防御核心在于服务器端严格掌控关键参数,如金额重算、参数签名、权限校验等。开发需遵循“不信任客户端”原则,确保支付流程安全可靠。
2025-07-22 08:46:21
1070
2
原创 Web LLM 安全剖析:以间接提示注入为核心的攻击案例与防御体系
LLM面临提示注入(含直接和间接,间接可通过外部源植入恶意指令)、训练数据中毒(污染训练数据致输出错误信息)、敏感数据泄露(被诱导泄露训练数据中敏感信息)等攻击;实战中可通过评论注入指令、利用不安全输出等方式实施攻击。防御需强化API权限(加身份验证,由应用控权限)、管好敏感数据(清理训练数据、给LLM最小权限)、不依赖提示词防御(需技术手段)。
2025-07-21 10:32:53
1271
2
原创 【BurpSuite 插件开发】实战篇(二)开发环境搭建和基础框架详解
工具准备:明确了开发所需的核心工具,包括JDK 21 LTS版本(提供Java运行环境)、BurpSuite社区版(插件运行的目标平台)、IntelliJ IDEA Community社区版(代码开发工具),并给出了各工具的下载途径。项目初始化:通过BurpSuite下载插件开发初始项目模板,并重命名为“PermissionTest”,完成项目的初步创建。环境配置。
2025-07-20 10:59:11
1181
原创 初探 Web 环境下的 LLM 安全:攻击原理与风险边界
在数字化转型加速的今天,大型语言模型(LLM)已成为企业提升服务效率的核心工具 —— 从智能客服实时响应客户需求,到内容平台自动生成营销文案,LLM 的深度集成正重塑在线业务形态。然而,这种 “AI 赋能” 的背后潜藏着隐蔽的安全陷阱:当 LLM 与企业内部系统、第三方 API 深度绑定,其对数据和功能的访问权限可能被攻击者利用,成为突破防线的 “隐形通道”。
2025-07-18 11:14:38
1537
原创 从 0 到 1 玩转 XSS - haozi 靶场:环境搭建 + 全关卡漏洞解析
在网页安全的战场里,跨站脚本攻击(XSS)就像隐藏在代码海洋中的暗礁 —— 它可能藏在一个看似无害的输入框里,潜伏在一段被精心构造的评论中,甚至伪装成一条正常的 URL。而 “xss.haozi.me” 的靶场,正是为你还原这场攻防博弈的绝佳训练场。从最直白的标签注入,到绕过敏感字符过滤的奇思妙想;从利用浏览器特性的巧妙 trick,到玩转编码与转义的底层逻辑。这里的每一关,都是现实中 XSS 漏洞的缩影,每一个 payload 的背后,都藏着对网页渲染机制的深刻理解。
2025-07-17 10:09:43
1405
2
原创 【BurpSuite 插件开发】实战篇(一)需求分解和模块设计
开始本系列前,建议先完成BurpSuite 插件开发基础篇内容的学习。在 Web 安全测试中,接口鉴权漏洞是业务安全的重大隐患,BurpSuite 插件则是高效检测的核心工具。但实际测试中,你是否常遇这些卡点:项目动辄数百接口,手动对比不同权限响应效率极低;想用Autorize插件,却困于 Python 2 停更,扩展功能举步维艰?本系列源自头部互联网企业的实战经历 —— 面对日均数千接口的鉴权校验需求,我用 Java 复刻并重构了 Autorize 核心逻辑。
2025-07-16 16:22:43
882
原创 【Web安全】一次性搞懂越权漏洞原理/检测/防御
摘要 越权漏洞(Broken Access Control)是Web应用常见的安全风险,本质是服务器权限校验失效,导致用户执行超出权限的操作。分为垂直越权(低权限用户访问高权限功能,如普通用户篡改isAdmin=true提权)和水平越权(同权限用户互访数据,如修改user_id遍历他人信息)。典型场景包括后台暴露、参数篡改、IDOR漏洞及WebSocket连接后权限缺失。检测方法包括黑盒测试(修改敏感参数如role、uid观察响应)和白盒审计(检查代码权限注解)。漏洞危害隐蔽性强,需严格校验用户与操作对象的
2025-07-15 23:06:27
1460
原创 【Web安全】一次性搞懂 SSRF 漏洞原理/检测/防御
SSRF 虽看似复杂,但核心是“服务器被诱导”。服务器不能直接信任用户输入的URL,开发时做好过滤和限制,就能有效防范。本文是「Web安全基础」系列的第 4 篇,点击专栏导航查看全部系列内容。
2025-07-14 10:35:14
1112
2
原创 【BurpSuite 2025最新版插件开发】基础篇10(完):日志记录与调试
项目流日志事件日志目的输出调试信息记录关键事件日志内容流式日志(变量、流程、状态)事件驱动(操作、触发、状态变更)是否结构化否是(有统一格式)常见用途开发调试、流程追踪行为审计、插件生命周期记录是否需要单独封装否(封装意义不大)推荐封装为独立方法,便于统一管理是否常用于异常处理否否是否需线程安全否否实践建议流日志适用于快速调试和临时日志输出,适合开发者查看当前代码执行情况。事件日志适用于记录重要行为或状态变化,适合长期维护、审计或插件使用者理解插件行为。
2025-07-12 10:12:35
1135
1
原创 从 0 到 1 玩转 upload-labs 靶场:环境搭建 + 全关卡漏洞解析
upload-labs是一个专门收集各种文件上传漏洞的PHP靶场项目,用于渗透测试和CTF练习。环境搭建支持Docker和Windows两种方式,包含21道题目。
2025-07-11 11:13:36
456
原创 【BurpSuite 2025最新版插件开发】基础篇9:多线程与异步处理(2)
本文介绍了BurpSuite插件开发中线程安全的最佳实践,重点讲解了共享资源保护和任务取消机制。
2025-07-10 12:22:05
1394
原创 从 0 到 1 玩转 Sqli-labs 靶场:环境搭建 + 全关卡漏洞解析
本文介绍了SQL注入的基础知识,包括常用函数、报错注入、时间盲注和布尔盲注四部分。并通过Sqli-labs 安全靶场进行 SQL 注入实践。
2025-07-09 11:22:24
1177
原创 从 0 到 1 玩转 DVWA 靶场:环境搭建 + 全关卡漏洞解析
如果你是网络安全新手,想亲手实操 SQL 注入、XSS、文件上传等经典漏洞,却苦于找不到系统的练习平台;如果你是安全从业者,需要一个标准化靶场验证渗透思路,却被零散的教程搞得晕头转向 —— 那么这篇文章就是为你准备的。环境说明安全提示:DVWA 环境仅用于本地测试,请勿暴露至公网。CentOS / UbuntuDocker:20.10.12+启动项目官方镜像:https://registry.hub.docker.com/r/vulnerables/web-dvwa配置项目访问 DVWA版本说明下载地址
2025-07-08 10:04:21
383
一款用于代码安全审计的 IDEA 插件:快速识别SpringBoot项目代码中所有接口是否有权限注解、快速识别所有拦截器实现类
2025-08-25
【Web安全技术】WebGoat v8.2.2版本全解:基于Java的开源安全测试平台环境搭建与常见漏洞实践指南
2025-07-02
网络安全靶场 SQL注入实战解析:sqli-labs解题指南
2025-06-27
网络安全-Java开发BurpSuite插件-插件源码
2025-06-23
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人