漏洞挖掘

開_punk2558_發

info_scan！自动化漏洞扫描系统，附下载链接在我们团队的日常工作中，定期进行安全演练和漏洞扫描几乎是必不可少的。每次安全互动我们都需要对关键资产进行全面的安全评估，及时发现可能存在的安全隐患。

通过组合Self-XSS + CSRF得到存储型XSS在一次漏洞赏金挖掘中，我在更改用户名的功能点出发现了一个XSS，在修改用户名的地方添加了一个简单的XSS payload并且刷新页面：

Nginx后门集合保姆级学习当前已知的Nginx后门目前的nginx后门根据加载方式来分有两类: 动态库模块(so module)和二进制nginx程序。

HW面试经验分享 | 北京蓝中研判岗腾讯会议（视频）面试过程：整体流程就是自我介绍加上一些问题问题balabalabala。。。这次面试是我前几天的真实护网面试，面的是长亭的研判岗。回答部分基本上是我的原答案，不保证正确。面试官是从简单到难，然后开始进行面试的，后面问了很多Java反序列化、免杀以及内存马的相关问题。（后面感觉还是蛮难的）

windows和linux的等保加固测评的经验分享一头等保加固测评的牛马，需要能做到一下午测评n个服务器接下来就讲讲如何当一头xxxxxxxxx===》严肃的等保测评加固的经验分享（

安全面试经验分享 | 某安全厂商北京安服工程师实习岗腾讯会议（视频）面试过程：整体流程就是自我介绍加上一些问题问题balabalabala。。。由于面的岗位是安服工程师的所以面试的方向比较广泛，但是由于是实习岗位所以不是很难。回答部分基本上是我的原答案，不保证正确。面试总体大概分三个大块（下面跳过自我介绍部分）以下是我的一面，后面还在等待二面！

web漏洞总结大全（基础）本文章是和cike_y师傅一起写的，cike_y博客：https://blog.csdn.net/weixin_53912233?type=blog

北京大学漏洞报送证书获取来源：edusrc（教育漏洞报告平台）url：教育漏洞报告平台(EDUSRC)兑换价格：30金币获取条件：北京大学任意中危或以上级别漏洞

赛宁网安入选国家工业信息安全漏洞库（CICSVD）2023年度技术组成员单近日，由国家工业信息安全发展研究中心、工业信息安全产业发展联盟主办的“2023工业信息安全大会”在北京成功举行。

长春理工大学漏洞报送证书获取来源：edusrc（教育漏洞报告平台）url：主页 | 教育漏洞报告平台兑换价格：10金币获取条件：提交长春理工大学任意中危或以上级别漏洞

浙江大学漏洞报送证书获取来源：edusrc（教育漏洞报告平台）url：主页 | 教育漏洞报告平台兑换价格：20金币获取条件：提交浙江大学任意中危或以上级别漏洞

IDT 一款自动化挖掘未授权访问漏洞的信息收集工具IDT 意为 Interface detection（接口探测) 项目地址:该工具主要的功能是对批量url或者接口进行存活探测，支持浏览器自动打开指定的url，避免手动重复打开网址。只需输入存在批量的url文件即可。

某某大学某学院后台Phar反序列化GetShell觉得这个洞还算有点意思，可以记录一下首先在另一个二级学院进行目录扫描时发现源码www.rar，并且通过一些页面测试推测这两个二级学院应该是使用了同一套CMS

自学网络安全（黑客）的误区网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。