collection document

Kumpulan artikel keselamatan mutu (Akan dibangun kembali)

 Some are inconvenient to release.  
Some forget update,can see me star.  
collection-document awesome
以前的链接中大多不是优质的  
渗透测试部分不再更新  
因精力有限，缓慢更新  
Author: [tom0li]  
Blog: https://tom0li.github.io

• Deskripsi Proyek
  • Daftar Github
    • Daftar yang luar biasa
    • mengembangkan
    • lainnya
  • Keamanan
    • daftar keamanan
    • Wawasan Pasar Keamanan
    • Keamanan awan
      • Dasar-dasar awan
      • Keamanan asli cloud
      • Serangan dan pertahanan di cloud
      • VM
        • vPusat
        • SLP
    • Keamanan AI
    • Rencana keamanan baru
      • Membangun keamanan generasi berikutnya
      • Tidak ada kepercayaan
      • DevSecOps
    • Deteksi ancaman
      • MEMARUT
      • MENYEMBUNYIKAN
      • WAF
        • Panduan Konstruksi WAF
        • LewatiWAF
      • Deteksi kulit web
      • Deteksi Cangkang Pantulan
      • EDR
      • AV
      • Ide honeypot deteksi gerakan lateral
      • Deteksi lalu lintas berbahaya
      • ID
      • Deteksi teks
    • Pengoperasian yang aman
    • Keamanan data
      • Pemetaan jaringan
    • Keamanan komunikasi
      • Komunikasi ujung ke ujung (edisi pertama)
      • SNI
    • keamanan pribadi
    • penelitian APT
      • Daftar ancaman tingkat lanjut
      • Intelijen ancaman
      • penangkapan ikan
      • C2-TIKUS
  • Peringatan & Penelitian Dini
    • GambarMagick
    • Menukarkan
    • Eskalasi Hak Istimewa
    • VPN
      • Sangfor
      • Detak
      • Palo
      • Fortigasi
      • Gerbang Citrix/ADC
    • Kucing jantan
    • FUZZING
  • Kode Audit-JAVA
    • Deserialisasi-Lainnya
    • RMI
    • Shiro
    • Fastjson
    • Dubbo
    • KAS
    • Injeksi templat Solr
    • Apache Skywalking
    • Musim semi
      • Sepatu bot musim semi
      • Awan musim semi
      • Data musim semi
  • Blockchain
  • penetrasi
    • penetrasi perbatasan
      • Catatan dan ringkasan penetrasi
      • Pengumpulan informasi
      • jangkauan
      • teknik penetrasi
    • Penetrasi intranet
      • Pemanfaatan pertukaran (lama)
      • Kredensial tiket hash
      • Penerusan proxy dan penggunaan kembali port
      • platform intranet
      • Keterampilan intranet
      • Hak meningkatkan hak
  • Bug_Bounty
  • jaring
    • XXE
    • XSS
    • jsonp
    • KOR
    • CSRF
    • SSRF
    • SQL
    • File berisi
    • mengunggah
    • Baca file apa pun
    • Pemalsuan cache web
    • Keracunan cache web
    • SSI
    • SSTI
    • JS
    • DNS
  • lainnya
    • Git
    • kode QR
    • reptil
    • efisiensi
    • Ilmu pengetahuan populer
  • Menyumbang
  • Ucapan Terima Kasih
  • Bintang

• keamanan web yang luar biasa
• Peretasan Luar Biasa - daftar 10.000 bintang
• analisis malware yang luar biasa
• Keamanan Android - Kumpulan sumber daya terkait keamanan Android.
• Keamanan - Perangkat lunak, perpustakaan, dokumen, dan sumber daya lainnya.
• Referensi Keamanan Informasi yang Tidak Menyebalkan
• Pembicaraan Keamanan - Daftar konferensi keamanan yang dikurasi.
• OSINT - Daftar OSINT mengagumkan yang berisi sumber daya hebat.
• Kotak peralatan pemindai sumber terbuka - Kotak peralatan pemindai sumber terbuka
• blackhat-arsenal-tools - Repositori Alat Keamanan Black Hat Arsenal Resmi
• peretasan iot yang luar biasa
• luar biasa-luar biasa
• Daftar daftar mengagumkan yang dikurasi
• Kehebatan Luar Biasa - Daftar Daftarnya.
• PENESTING-BIBLE - konten yang berhubungan dengan keamanan
• Pembelajaran Keamanan Web - oleh CHYbeta
• Pembelajaran-Keamanan-Perangkat Lunak - oleh CHYbeta
• MiscSecNotes - oleh catatan JnuSimba
• AndroidSecNotes - catatan
• LinuxSecNotes - catatan
• kumpulan sumber daya keamanan python dan tinjauan kode
• Pentest_Wawancara
• sumber informasi tanjiti - sumber informasi keamanan yang dijelajahi setiap hari oleh Baidu tanjiti
• CVE-Flow - oleh 404notfound memantau pembaruan tambahan CVE, prediksi CVE EXP berbasis pembelajaran mendalam, dan dorongan otomatis
• security_w1k1 Master euphrat1ca memperbarui gudang terkait keamanan setiap saat

• Internet Java Engineer Pengetahuan Tingkat Lanjut Literasi Lengkap
• Pembelajaran Java + panduan wawancara mencakup pengetahuan inti yang perlu dikuasai sebagian besar programmer Java
• Lembar Cheat Python
• Kumpulan sumber daya full-stack untuk programmer.
• web, front-end, javascript, nodejs, elektron, babel, webpack, rollup, reaksi, vue...
• Pertanyaan wawancara tentang Python
• Python-100-Hari
• analisis kode sumber python3
• Universitas Wawancara Coding
• buku pegangan wawancara teknologi-bagus
• Pengetahuan dasar penting untuk wawancara
• Dasar-dasar CS
• Algoritma/Pembelajaran Mendalam/Catatan Wawancara NLP
• Catatan Algoritma
• 50 implementasi kode yang harus Anda ketahui tentang struktur data dan algoritma
• wawancara_internal_reference
• wawancara terbalik - Apa yang harus ditanyakan kepada pewawancara di akhir wawancara teknis

• Buku yang direkomendasikan untuk praktisi keamanan informasi
• Panduan belajar bahasa Inggris v1.2 ditulis khusus untuk programmer
• Kata-kata yang cenderung salah diucapkan oleh programmer Tiongkok
• Hukum, teori, prinsip dan pola yang berguna bagi pengembang
• SecLists - Kumpulan berbagai jenis daftar yang digunakan selama penilaian keamanan.
• Kumpulan muatan serangan web yang disetel
• Kumpulan peta pikiran terkait keselamatan - oleh pniu
• Koleksi peta pikiran keamanan-oleh SecWiki
• Laporan-dan-Sumber Daya Android - Laporan HackerOne
• AppSec - Sumber daya untuk mempelajari tentang keamanan aplikasi.
• Infosec - Sumber daya keamanan informasi untuk pentesting, forensik, dan banyak lagi.
• YARA - Aturan, alat, dan orang YARA.
• Panduan Keamanan dan Privasi MacOS
• akun-resmi-keamanan-luar biasa-weixin
• Lingkaran Keamanan Remaja 2018-2020 - Blogger/Blogger Teknologi Aktif - oleh 404notf0und
• 996.Tinggalkan
• Poin-poin penting untuk menyewa rumah, berlaku di Beijing, Shanghai, Guangzhou, Shenzhen dan Hangzhou
• Membeli rumah di Beijing
• Panduan untuk membeli rumah di Beijing
• Membeli rumah di Shanghai
• Membeli rumah di Hangzhou
• mengagumkan-macOS - perangkat lunak mac
• awesome-mac - perangkat lunak mac
• ruanyf - Mingguan Penggemar Teknologi

• perpustakaan kertas arxiv.org
• Catatan pembelajaran 404notf0und fokus pada bagian deteksi keamanan
• Konten terkait deteksi intrusi dikumpulkan oleh Master Donot
• Zheng Han-Blog Lihat seluruhnya
• cdxy-Blog sangat tampan
• zuozuovera-ketangkasan blog
• Ringkasan Tahunan Lingkaran Akademik Keamanan 2018-Lingkaran Akademik Keamanan ID WeChat
• ensiklopedia pengerasan keamanan

Memperkenalkan ikhtisar pasar keamanan, tren, dan hukum. Produsen bisnis keamanan dalam dan luar negeri

• KTT Keamanan XDef 2021

• Pengantar virtualisasi
• kvm yifengyou menguasai catatan kvm

• Google: Model BeyondProd
• Praktik Keamanan Kontainer Asli Meituan Cloud
• Pengamatan Tren Deteksi Intrusi Cloud Native
• Peluang keamanan cloud yang dibawa oleh cloud native Tinjauan pasar keamanan cloud native (non-teknis)
• Buku Putih Keamanan Alibaba Cloud

• Luar biasa tanpa server
• Penetrasi Cloud Native Catatan penetrasi cloud native dari Master Neargle memperkenalkan layanan-layanan yang mungkin dihadapi oleh penetrasi cloud native dan ide-ide pengujian yang sesuai.
• Red Teaming for Cloud dengan jelas menjelaskan apa itu tim merah dan beberapa jalur pentest cloud yang umum
• tom0li: Ringkasan pelarian Docker memperkenalkan tiga jenis metode pelarian buruh pelabuhan dari perspektif serangan, memperkenalkan beberapa skenario pelarian aktual dan metode serangan untuk para insinyur
• Keamanan Kubernetes Repo ini adalah kumpulan penelitian dan hal keamanan kubernetes.
• Studi pendahuluan tentang serangan dan pertahanan fungsi tanpa server memperkenalkan jalur serangan dan metode deteksi pertahanan fungsi tanpa server
• Serangan dan pertahanan basis data RDS menggunakan ACCESSKEY non-anak untuk membocorkan informasi. Setelah konfigurasi, RDS dapat dihubungkan ke jaringan eksternal.
• Tabrakan antara container dan cloud - pengujian MinIO terutama berfokus pada kerentanan SSRF penyimpanan objek MinIO, dan konstruksi lompatan POST SSRF 307 dieksploitasi
• Risiko keamanan penggunaan Helm2 di Kubernetes menjelaskan operasi spesifik untuk mendapatkan rahasia dari Helm2
• Investigasi intrusi batch K8s 6443 konfigurasi autentikasi yang tidak tepat memungkinkan pengguna anonim meminta api k8s dengan hak istimewa, meminta pod untuk membuat buruh pelabuhan, membuat buruh pelabuhan dengan hak istimewa di buruh pelabuhan dan menjalankan perintah berbahaya, menghapus pod yang dibuat
• Penggunaan kube-apiserver dalam pengujian penetrasi K8 memperkenalkan jalur serangan klasik dan mencari akun layanan dengan hak istimewa tinggi di pod yang diperoleh.
• Pengenalan penggunaan dll uji penetrasi K8: Perintah penetrasi ketika dlld tidak sah dan penyerang memiliki sertifikat, baca perintah token akun layanan, ambil alih perintah cluster
• Solusi perlindungan rahasia keamanan data K8
• Kebijakan Akses Bersyarat yang Fantastis dan cara melewatinya Masalah Azure Master Dirk-jan
• Saya ada di cloud Anda: Setahun meretas masalah Azure Azure AD Master Dirk-jan
• Otorisasi akses Istio memperlihatkan kerentanan berisiko tinggi CVE-2020-8595 Mode pencocokan tepat Istio pencocokan tepat akses tidak sah yang tidak tepat

• Analisis Kerentanan CVE-2021-21972 vCenter 6.5-7.0 RCE
• Catatan Pelacakan Kerentanan RCE VMware vCenter - Pengetahuan apa yang dapat diperoleh dari kerentanan RCE sederhana? Pengantar mengapa paket data tidak dapat dimodifikasi dalam sendawa untuk mengunggah file

• CVE-2020-3992 & CVE-2021-21974: Eksekusi Kode Jarak Jauh Pra-Auth di VMware ESXi memperkenalkan dua CVE. SLP yang secara resmi dikelola oleh VM berdasarkan openSLP memiliki kerentanan UAF dan dapat melewati patch.

• AI-untuk-Pembelajaran Keamanan Kekuatan AI - oleh 404notf0und
• 0xMJ: Pembelajaran Keamanan AI
• Matriks Ancaman ML yang Melawan sistem Pembelajaran Mesin
• Matriks risiko ancaman keamanan AI
• Eksplorasi metode identifikasi latar belakang manajemen Web berdasarkan pembelajaran mesin dan pengenalan ikhtisar desain modul identifikasi latar belakang sistem lalu lintas internal Tencent

• Jaringan Keamanan yang Tangguh - Membangun Internet Aman Generasi Berikutnya

• Zhang Ou: Jaringan bank digital tepercaya menerapkan konsep zero trust
• Di bawah kepercayaan nol, alat proxy menggunakan chrome sebagai proxy, dan korban dapat mengakses layanan web melalui chrome.

• Konsep dan Pemikiran DevSecOps Pusat Tanggap Darurat Keamanan Tencent
• Luar Biasa-DevSecOps

• Beberapa mitos tentang aplikasi intelijen keamanan

• Diskusi singkat tentang RASP
• Berdasarkan OpenRASP - Perluas pemuatan kelas RASP di Hong Kong

• Desain arsitektur cluster HIDS terdistribusi tim teknis Meituan

• Operasi konstruksi WAF dan praktik aplikasi AI

• Ringkasan tes publik kiper WAF
• Ringkasan pribadi ide injeksi bypass waf (dengan 6 metode bypass waf yang umum)
• Pengemudi berpengalaman akan membawa Anda melalui WAF reguler
• Beberapa tips untuk ByPass injeksi SQL
• Melewati WAF di tingkat protokol HTTP
• Gunakan transfer terpotong untuk mengalahkan semua WAF
• Pintasan dan metode untuk melewati WAF
• Sedikit pengetahuan tentang WAF
• WAF Bypass webshell mengunggah jsp dan Tomcat
• Berbagai postur jsp webshell

• Deteksi dan matikan kuda memori jenis filter web Java
• Memindai, menangkap dan membunuh kuda memori Filter/Servlet
• Membahas Serangan dan Pertahanan Java Memory Webshell
• Hal-hal tentang JSP Webshell--serangan
• Serangan dan pertahanan webshell terhadap PHP
• Penerapan Teori Pengiriman Taint dalam Deteksi Webshell-PHP
• Awal yang baru: deteksi webshell
• Menggunakan intercetor untuk menyuntikkan artikel webshell memori pegas adalah sudut serangan dan eksploitasi

• Penelitian tentang prinsip dan teknologi deteksi rebound shell-oleh LittleHann
• Analisis Bounce Shell
• Penjelasan rinci tentang teknologi deteksi multidimensi shell rebound

• Mari-buat-edr-dan-bypass
• openr produk sumber terbuka edr

• mengeksploitasi-hampir-setiap-antivirus-perangkat lunak Counter AV, gunakan metode tautan untuk menggunakan otoritas tinggi AV untuk menghapus file sewenang-wenang
• Melewati Pemindaian Runtime Windows Defender Tes enumerasi memanggil API mana yang akan memicu deteksi Defender. Ditemukan bahwa Defender dipicu ketika CreateProcess dan CreateRemoteThread dibuat. Tiga solusi diusulkan: menulis ulang panggilan API, menambahkan instruksi modifikasi untuk mendekripsi dan memuat secara dinamis, dan mencegah Defender memindai area ini. Penulis berfokus pada mekanisme pemindaian Defender (Memori virtual relatif besar, dan hanya izin halaman MEM_PRIVATE atau RWX yang dipindai). Ketika API yang mencurigakan dipanggil, izin memori PAGE_NOACCESS disetel secara dinamis dan Defender tidak akan memindainya untuk keamanan .
• Rekayasa penghindaran antivirus
• Lewati Pengurangan Permukaan Serangan Windows Defender
• Masalah nama file pemindaian pembela
• herpaderping tipe baru pembela bypass
• Implementasikan shellcodeLoader dan perkenalkan beberapa metode eksekusi shellcode dan lewati metode sandbox
• Malware_development_part Seri tutorial malware
• Deteksi antivirus dan daftar kait

• Honeypots - Honeypots, peralatan, komponen, dan banyak lagi.
• Berburu Implan Kunci Kerangka Mendeteksi persistensi Kunci Kerangka
• Buat akun honeypot untuk mendeteksi Kerberoast

• Solusi pertanyaan DataCon2020: Melacak Botnet melalui honeypot dan lalu lintas DNS
• Eksperimen komunikasi rahasia Terowongan DNS&& berupaya mereproduksi deteksi mode berpikir vektorisasi fitur
• produk pendeteksi lalu lintas sumber terbuka maltrail
• deteksi cobalt-strike-default-modules-via-named-pipe mendeteksi pipa memori dari modul default yang dijalankan setelah CS online
• Pengantar penggunaan data DNS untuk penemuan ancaman 360DNSMON Gunakan pemantauan DNS untuk menemukan pintu belakang skidmap, beberapa teknik analisis
• DNSMon: Gunakan data DNS untuk penemuan ancaman. Pantau peristiwa melalui DNSMON dan korelasikan serta analisis peristiwa.
• menghindari-sysmon-dns-monitoring
• gunakan-dns-data-menghasilkan-ancaman-intelijen

• Mari kita bicara tentang tanda tangan IDS
• Paket TCP rusak
• Beberapa eksplorasi untuk melewati IDS/IPS pada lapisan jaringan

• Penerapan pembelajaran mesin dalam analisis kesamaan kode biner

• Bagaimana cara mengevaluasi kualitas pekerjaan keselamatan? Beberapa pembagian pengelolaan "hutang karier" Tencent ke atas

• Konstruksi sistem keamanan data perusahaan internet
• Pembahasan singkat tentang keamanan data

• Bicarakan secara singkat tentang survei dan pemetaan dunia maya
• Biarkan teknologi survei dan pemetaan dunia maya tidak lagi tidak menentu dengan Fokus Survei dan Pemetaan Jaringan Zhao Wu
• Catat beberapa informasi terkait pemetaan dunia maya/mesin pencari

• Pengantar paling komprehensif untuk memperbesar kerentanan dan solusi perbaikan dalam sejarah
• Serangan analisis lalu lintas pada perangkat lunak pesan instan yang aman
• Analisis prinsip kerahasiaan data Shadowsocks berdasarkan transmisi enkripsi kebingungan sekunder

• ESNI apa-yang-dienkripsi-sni
• klien-terenkripsi-halo-masa depan-esni-di-firefox
• klien-terenkripsi-halo

• Tor-0day-Menemukan-Alamat-IP
• lcamtuf: rencana bencana
• tom0li: Ide perlindungan privasi pribadi untuk perlindungan privasi orang biasa
• Melindungi privasi: daftar metode pengumpulan privasi digital
• Sidik jari akses browser SupercookieSupercookie menggunakan favicon untuk menetapkan pengenal unik kepada pengunjung situs web. Gunakan beberapa URL akses untuk membedakan pengguna

Sebagian besar konten yang tercantum pada tahap awal adalah konten serangan, termasuk laporan pelacakan yang tepat, dll.

• Wiki Infrastruktur Tim Merah
• Analisis pengumpulan laporan APT dan rekomendasikan
• Tentang sifat ancaman tingkat lanjut dan penelitian kuantitatif mengenai kekuatan serangan
• Konferensi OffensiveCon tidak lagi ditampilkan satu per satu
• AT&CK
• Latihan dan pemikiran Tim Merah dari 0 hingga 1 memperkenalkan apa itu Tim Merah dan cocok untuk konstruksi internal tim merah.
• MITRE |. Peta pengetahuan situs web ATT&CK Cina, tidak lagi diperbarui
• fireeye Threat Research Perusahaan analisis ancaman terkenal
• tim merah-dan-berikutnya -oleh DEVCORE

Artikel Anti Ancaman oleh redrain dan timnya

• Blog Noah Anti Ancaman dan Pelaku Ancaman melalui Noah Lab Analyst
• Blog Lab FiberHome
• Analisis APT dan ekstraksi TTP
• Pembahasan ATT&CK/APT/Atribusi
• Legends Always Die -- Penjelasan singkat tentang serangan rantai pasokan League of Legends di FireEye Summit. Telusuri sumber serangan rantai pasokan. Informasi dasar seperti nama domain/ip/email, dan riwayat kontak aktivitas.
• Laporan tinjauan teknis acara XShellGhost
• Kingslayer Serangan rantai pasokan

Analisis rantai pasokan Solarwinds

• Melihat operasi rahasia dalam operasi APT dari serangan rantai pasokan Solarwinds (Golden Link Bear), perwakilan qianxin menganalisis perilaku serangan Solarwinds
• Analisis Angin Surya
• Penyerang yang Sangat Mengelak Memanfaatkan Rantai Pasokan SolarWinds untuk Membahayakan Banyak Korban Global Dengan Pintu Belakang SUNBURST
• SUNBURST menganalisis detail lainnya

• Proses klasifikasi dakwaan Korea Utara selama satu dekade
• Pembahasan singkat tentang "atribusi" serangan cyber. Memperkenalkan beberapa indikator dan metode klasifikasi APT (lihat dokumen Cyber ​​​​Attribution) dan beberapa dokumen klasifikasi
• Apa itu intelijen ancaman? Pengenalan tentang apa itu intelijen ancaman? Definisi, klasifikasi, dan indikator Proses penelusuran sumber dan klasifikasi diperkenalkan melalui beberapa kasus.

• Pengenalan prinsip enumerasi pengguna SMTP dan alat terkait - digunakan untuk mendapatkan kamus pengguna
• Serangan tombak
• Cara melawan peretas menggunakan AWVS
• Jalan serangan balik dimulai dari MySQL
• Ekspansi rantai serangan pembacaan file sewenang-wenang Klien Mysql
• Server MySQL yang berbahaya membaca file Klien MySQL
• BloodHoundAD/BloodHound#267 -xss
• Ghidra dari XXE hingga RCE untuk insinyur
• Risiko keamanan dari penipuan WeChat menyasar individu
• Phishing gudang Nodejs menargetkan para insinyur
• Membuat plug-in berbahaya untuk Visual Stuio Code menargetkan para insinyur
• Phishing VS CODE menargetkan para insinyur
• Phishing paket Python menargetkan para insinyur
• Phishing klien Docker menargetkan para insinyur
• Menggunakan halaman berbahaya untuk menyerang Xdebug lokal untuk para insinyur
• Router phishing RCE Huawei HG532 untuk individu
• Phishing intranet

 RMI反序列化
WIN远程连接漏洞CVE-2019-1333
Mysql读文件&反序列化
Dubbo反序列化
IDE反序列化
恶意vpn
恶意控件
笔记软件rce
社交软件rce
NodeJS库rce
Python package 钓鱼
VSCODE EXTENSION 钓鱼
VS Studio钓鱼
Twitter钓鱼
红包插件钓鱼防撤回插件
解压rce
破解软件钓鱼
docker客户端钓鱼
docker镜像钓鱼
Xdebug
Ghidra钓鱼
bloodhound钓鱼
AWVS钓鱼
蚁剑
浏览器插件
云盘污染

• ..dll

Pemalsuan email

• "Eksplorasi" yang disebabkan oleh email palsu (melibatkan email phishing, SPF, DKIM, dll.)
• Catatan SPF: Pengantar prinsip, sintaksis, dan metode konfigurasi
• Teknologi dan Deteksi Pemalsuan Email
• Diskusi mengenai serangan dan pertahanan pemalsuan email dan pembuatan bom email
• Lewati verifikasi DKIM dan palsukan email phishing
• Praktik Terbaik Perlindungan Email: SPF, DKIM, dan DMARC
• Phish Tombak Serangan Kobalt
• Suntikan SMTP Gsuite

Untuk saat ini, ini hanyalah daftar singkat

• Perintah & Kontrol Koadic C3 COM - JScript RAT
• QuasarRAT
• CS

• 10 Teknik Peretasan Web Teratas tahun 2017 - Situs web nb
• 10 teknik peretasan web teratas tahun 2018
• Koleksi PPT keselamatan
• us-19-Tsai-Infiltrasi-Perusahaan-Intranet-Seperti-NSA -Oranye pwn vpn
• melewati kotak pasir-yuange
• Penerapan prinsip kompilasi di bidang keamanan
• Penerapan perangkat lunak radio dan stasiun pangkalan sumber terbuka dalam penambangan kerentanan BAGIAN 4: Beberapa eksplorasi dan integrasi sumber daya pembelajaran keamanan pita dasar oleh Sprite 0xroot
• memulihkan-kata sandi-dari-piksel-tangkapan layar-sipke-mellema menghapus mosaik teks. Tes ini memiliki terlalu banyak batasan dan memerlukan perangkat lunak tangkapan layar, koordinat xy, font, dan warna yang sama.

• Buku pegangan kerentanan ImageMagick
• Cara menggunakan Fuzzing untuk menambang kerentanan ImageMagick
• Analisis eksekusi perintah ImageMagick-CVE-2016-3714
• Imagemagick bertemu dengan getimagesize

• Catatan kerentanan Microsoft Exchange (diarahkan ke kontrol domain) - CVE-2018-8581
• Menggunakan kerentanan Exchange SSRF dan relai NTLM untuk mengkompromikan kontrol domain
• Analisis Kerentanan Microsoft Exchange CVE-2018-8581
• Analisis Kerentanan Pemalsuan Pengguna Sewenang-wenang Microsoft Exchange (CVE-2018-8581)
• Pemanfaatan ViewState dari deserialisasi .Net
• proxylogon
• Implementasi program untuk menghasilkan ViewState

• Ubuntu-gdm3-accountsservice-LPE

• Sangfor backend RCE
• RCE front desk Sangfor tidak menyertakan link karena belum dipublikasikan.

• Pulsa-aman-baca-passwd-ke-rce -dengan warna oranye
• Pulsa Hubungkan Aman RCE CVE-2020-8218
• Pulse Connect Secure – RCE melalui Injeksi Templat (CVE-2020-8243)

• Menyerang SSL VPN - Bagian 1: PreAuth RCE di Palo Alto GlobalProtect, dengan Uber sebagai Studi Kasus!

• Menyerang SSL VPN - Bagian 2: Membobol Fortigate SSL VPN

• Analisis Kerentanan Eksekusi Kode Jarak Jauh Citrix Gateway/ADC

• Kerentanan Apache Tomcat 8.x

• Luar Biasa-Fuzzing
• Penelitian dan desain konstruksi platform Fuzzing oleh Quan Ge
• Menjelajahi masalah cakupan yang tidak mencukupi dalam teknik penambangan kerentanan otomatis tingkat lanjut
• Fuzzing War: Dari pedang, busur, dan kapak hingga Star Wars Flanker menjelaskan tren historis fuzzing
• Fuzzing War Seri Dua: Tidak Takut Awan Mengambang Menutupi Visi Kita Fuzzing yang Dipandu Cakupan memecahkan ide-ide sumber tertutup Penelusuran Statis atau Dinamis & Dinamis

• javasec.org -oleh kepala sekolah
• Beberapa Tip untuk audit kode JAVA (dengan skrip)
• Promosi audit kode Java Minxin selangkah demi selangkah
• Kode kerentanan Java
• Pemilihan planet pengetahuan audit kode

• Java-Deserialisasi-Cheat-Sheet
• Tomcat tidak keluar dari jaringan, gema
• Berbagai postur deserialisasi Java bergema
• Permintaan penambangan semi-otomatis mengimplementasikan beberapa gema middleware
• Ide eksploitasi kerentanan pasca-deserialisasi Java
• EKSENTRISITAS URL DI JAVA Permintaan kelas url java menyebabkan ssrf lfi bocor versi java
• Panduan Pengujian Keamanan HSQLDB HSQLDB (HyperSQL DataBase) adalah database tertanam kecil yang seluruhnya ditulis dalam Java

• Memulai dengan Java RMI
• menyerang-java-rmi-layanan-setelah-jep-290
• Sembilan serangan terhadap layanan RMI - Bagian 1
• Sembilan serangan terhadap layanan RMI - Bagian 2
• Solusi bijaksana untuk serangan terhadap pelaporan kesalahan layanan intranet rmi DITOLAK

• Eksplorasi deteksi kerentanan Shiro RememberMe berkisar dari penggunaan SimplePrincipalCollection kosong untuk mendeteksi kunci hingga gema universal Tomcat hingga berbagai kesulitan yang dihadapi dalam proses deteksi.
• Lihat penggunaan shiro yang benar dari kerentanan pengembangan
• Kerentanan eksekusi perintah yang disebabkan oleh deserialisasi di Shiro RememberMe 1.2.4
• Piala Qiangwang "Telur Paskah" - Pemikiran berbeda tentang kerentanan Shiro 1.2.4 (SHIRO-550)
• Analisis Kerentanan Serangan Oracle Shiro 721 Padding
• Izin Shiro melewati analisis kerentanan
• Aplikasi dengan kelas yang dimuat secara dinamis dalam kerentanan eksekusi kode Java tidak dapat mendaftarkan agen filter reGeorg secara online

• pemanfaatan deserialisasi fastjson
• FastJson =< 1.2.47 Analisis singkat tentang kerentanan deserialisasi
• Deserialisasi FASTJSON berdasarkan metode pemanfaatan JNDI
• Analisis debugging kerentanan deserialisasi Fastjson
• Pembelajaran deserialisasi FastJson
• Diskusi singkat tentang riwayat bypass kerentanan Fastjson RCE
• Beberapa metode untuk mendeteksi fastjson melalui dnslog
• Ide penambangan untuk gadget bypass autotype fastjson 1.2.68

• Dubbo2.7.7 Analisis Bypass Kerentanan Deserialisasi Yunding Lab
• Beberapa kerentanan eksekusi kode jarak jauh di Dubbo 2.7.8
• Cara melewati batasan JDK versi lebih tinggi untuk injeksi JNDI. Melewati batasan versi JDK yang lebih tinggi: Gunakan LDAP untuk mengembalikan data serial dan memicu gadget lokal. Mengapa meletakkannya di bawah Dubbo karena masalah yang dihadapi di Dubbo.

• Analisis kerentanan deserialisasi parameter eksekusi Apereo CAS 4.X
• Analisis kerentanan deserialisasi Apereo CAS dan eksploitasi gema

• Penelitian Injeksi Apache Solr
• Analisis mendalam tentang kerentanan injeksi template Apache Solr Velocity
• Analisis kerentanan eksekusi perintah jarak jauh templat Apache solr Velocity
• injeksi solr

• Analisis Kerentanan Eksekusi Kode Jarak Jauh Apache Skywalking

• Daftar Periksa Eksploitasi Kerentanan Spring Boot
• Injeksi template Thymeleaf booting musim semi untuk pengembangan keamanan java

• Traversal jalur Spring Cloud Config Server dan kerentanan pembacaan file sewenang-wenang CVE-2019-3799

• Spring Data Redis <=2.1.0 Kerentanan Deserialisasi

• Basis Pengetahuan Basis Pengetahuan Tim Keamanan SlowMist
• Tim Keamanan Kabut Lambat github

• diretas-Facebook -oleh Orange
• Melanggar-Parser-Logika-Ambil-Jalur-Anda-Normalisasi-Off-Dan-Pop-0days-Out -Kotak Pandora Oranye Dibuka
• kriteria penetrasi
• pentest-bookmark
• awesome-pentest - Kumpulan sumber daya pengujian penetrasi yang mengagumkan.
• Lembar Cheat Pentest - Lembar Cheat Pentest yang Luar Biasa.
• Daftar periksa pentesting untuk berbagai penugasan
• pentest-wiki
• Mikro miskin
• Praktek Pengujian Penetrasi Edisi Ketiga
• Pengujian Penetrasi Layanan Web dari Pemula hingga Master
• Rekor penetrasi sulit Lao Wen
• Menyusup ke Proses Tim Peretasan
• jelajah intranet ssrf
• Log Penetrasi 1
• Log Penetrasi 2
• tom0li: Ringkasan celah logis
• Ringkasan kerentanan umum di middleware web
• Ringkasan penetrasi database Mysql dan eksploitasi kerentanan simeon
• Berbagai Serangan Header Host
• Redis pemanfaatan master-slave ppt
• Serangan web dan pertahanan brute force memecahkan versi He Zudao
• Diskusi singkat tentang kerentanan dan perlindungan middleware
• Serangan dan pertahanan NFS
• Memanfaatkan folder dan file tersembunyi di aplikasi web untuk mendapatkan informasi sensitif
• Buku Putih: Cookie Keamanan
• Server membuka konten keamanan debug
• Memulai Keamanan Kubernetes
• OOB
• Ringkasan penetrasi database H2
• Kompilasi kerentanan produk Atlassian

• Teknologi pengumpulan informasi dari perspektif Tim Merah
• Mesin Pencari Seri Artefak Penetrasi
• Basis Data Peretasan Google
• Peretasan Google
• Pemanfaatan otomatis Shodan
• Beberapa penggunaan Shodan dalam pengujian penetrasi dan penambangan kerentanan
• Penjelasan rinci sintaksis http.favicon.hash Shodan dan tip penggunaan
• Panduan Shodan – Cina
• Panduan Shodan bodoh
• Pengantar metode pengumpulan intelijen tahap awal dan alat untuk pengujian keamanan aplikasi web

• vulhub
• fokus vulkanik

• Multi-agen BurpSuite
• Frida.Android.Practice (ssl melepas pin)
• IIS7 dan yang lebih baru menerobos batasan tidak adanya izin eksekusi skrip
• Gabungan penggunaan injeksi sekunder dan pemotongan SQL
• Petunjuk tambahan untuk injeksi dan pemotongan sekunder SQL
• getshell postur baru phpMyAdmin - perlu mengatur parameter dengan izin ROOT untuk membuka
• phpmyadmin4.8.1 latar belakang getshell
• Permintaan HTTP yang tidak valid mengabaikan aturan penulisan ulang Lighttpd
• Pembatasan penyertaan URL bypass RFI getshell win server bypass penyertaan file phpallow_url_fopenallow_url_include = off
• 2 ide - baca koneksi informasi sistem klien mysql dan unggah
• PayloadsAllTheThings - Ensiklopedia Payloads
• Teknologi JNI melewati perlindungan rasp untuk mengimplementasikan jsp webshell
• Agen tidak dapat memasuki intranet pada hari yang salah
• Analisis singkat tentang proxy terbalik
• Pengantar iptables
• Gabungkan panggilan sistem langsung dan sRDI untuk melewati AV/EDR
• FB Django Debug Stacktrace RCE
• Redis di Windows sangat keren untuk digunakan dan dijelajahi di luar jaringan
• Alat |. Cara memodifikasi muatan sqlmap
• Alat |. Cara memodifikasi payload sqlmap (Bagian 2)
• analisis kode sumber sqlmap
• analisis kode sumber sqlmap satu
• analisis kode sumber sqlmap 2
• analisis kode sumber sqlmap tiga
• analisis kode sumber sqlmap empat
• Kustomisasi nmap Eye of the Gods - pengenalan pertama ke NSE
• Kustomisasi nmap Eye of the Gods kemajuan NSE
• Tips bersendawa yang mungkin belum Anda ketahui
• ekstensi bersendawa yang luar biasa
• Analisis sederhana tentang AWVS
• Hapus beberapa tanda AWVS
• nmap berbicara tentang pengalaman dan prinsip deteksi port
• Jalan saya menuju pengujian fuzz keamanan aplikasi web
• Memulai dengan Wfuzz
• Keterampilan dasar Wfuzz
• Keterampilan tingkat lanjut Wfuzz 1
• Keterampilan tingkat lanjut Wfuzz 2
• retak versi lanjutan xray

Beberapa isi artikel yang diberikan sebelumnya salah dan perlu dicek dalam praktiknya.

• IKLAN-Serangan-Pertahanan
• l3m0n: Pembelajaran penetrasi intranet dari awal
• uknowsec/Direktori-Aktif-Pentest-Catatan
• Intranet_Penetrasi_Tips
• Ringkasan penetrasi intranet asing - pengenalan pemula untuk berlatih dengan penulis lama
• Pasca-penetrasi untuk pabrik besar dalam negeri – berkelanjutan – praktik tingkat pemula
• Rekam penetrasi lateral
• Kata kunci catatan penetrasi intranet: delegasi, relay, bypassAV, webdev XXE - oleh A-TEAM
• Pengantar Penetrasi Intranet Windows-oleh Departemen Tencent Anping
• Relai NTLM

• Pemahaman mendalam tentang bagaimana Exchange Server dieksploitasi dalam penetrasi jaringan
• Penggunaan Exchange dalam pengujian penetrasi
• Catatan kerentanan Microsoft Exchange (diarahkan ke kontrol domain) - CVE-2018-8581
• Menggunakan kerentanan Exchange SSRF dan relai NTLM untuk mengkompromikan kontrol domain
• Analisis Kerentanan Microsoft Exchange
• Analisis Kerentanan Pemalsuan Pengguna Sewenang-wenang Microsoft Exchange (CVE-2018-8581)
• Analisis Reproduksi Kerentanan Eksekusi Kode Jarak Jauh Exchange Server

• Cara mewah untuk mencuri hash NetNTLM
• Pintu Terbuka ke Neraka: Penyalahgunaan Protokol Kerberos
• Relai NTLM
• Panduan praktis Relay NTLM tahun 2017
• Yang terburuk dari kedua dunia: Menggabungkan delegasi NTLM Relay dan Kerberos
• Kerja Sama dan Teori Merah: Relai Kredensial dan EPA
• Teknik Penetrasi Domain Tingkat Lanjut Lewati Hash Sudah Mati - Kebijakan LocalAccountTokenFilter Panjang Umur
• Ikhtisar kerentanan dalam protokol intranet Windows yang mempelajari NTLM
• Pengantar kerbero

• Keterampilan pengujian penetrasi: Ringkasan metode dan ide penetrasi intranet
• Final Proksi SOCKS Roaming Intranet
• penggunaan kembali port iptables
• Multiplexing port tingkat pengemudi
• Penggunaan kembali port middleware layanan web
• menangkan penggunaan kembali port IIS

Disarankan untuk membaca manual resmi

• Tiga bersaudara di antara pendekar pedang intranet
• Senjata penetrasi Cobalt Strike - Bagian 2 anti-pembunuhan dan konfrontasi komprehensif tingkat APT dengan sistem pertahanan mendalam perusahaan
• Panduan Modifikasi CobaltStrike
• Metasploit berlari melalui intranet untuk mengakses langsung kepala administrator domain
• Satu artikel untuk menguasai PowerShell Empire 2.3 (Bagian 1)
• Satu artikel untuk menguasai PowerShell Empire 2.3 (Bagian 2)
• Panduan Serangan Powershell Seri Penetrasi Pasca-peretas - Dasar
• Panduan Serangan Powershell Seri Penetrasi Pasca-peretas - Pemanfaatan Tingkat Lanjut
• Panduan Serangan Powershell Seri Penetrasi Pasca-peretas - Pertarungan Praktis
• nishang-ps
• Penetrasi domain tempur sebenarnya Empire

• Keterampilan penetrasi - login multi-pengguna untuk desktop jarak jauh sistem Windows
• Teknik Infiltrasi: Alat untuk Menyembunyikan Diri
• Trik untuk memasukkan pengunduhan kode berbahaya ke dalam daftar putih
• Daftar putih mengunduh kode berbahaya
• Satu perintah untuk mengimplementasikan pintu belakang rebound tanpa file dan sangat kompatibel, dikumpulkan dari awan gelap yang kuat sebelumnya
• Teknik Penetrasi - Berbagai Metode untuk Mengunduh File dari Github
• Tips Penetrasi—Beralih dari Izin Admin ke Izin Sistem
• Teknik Penetrasi - Delegasi Program dan Startup
• Akses Internet secara paksa melalui VPN, dan Internet akan terputus ketika VPN terputus
• alat proxy ip shadowProxy-kumpulan proxy
• Teknik Penetrasi - Menyembunyikan Akun di Sistem Windows
• Tip Penetrasi – Lebih Banyak Tes untuk Registri “Tersembunyi”.
• Teknik Penetrasi—Menghapus dan Melewati Log Windows
• Teknik Penetrasi—Pencurian dan Pemanfaatan Token
• Penetrasi Domain - Dapatkan file NTDS.dit dari server kontrol domain
• Tip Penetrasi - Dapatkan Riwayat Koneksi Desktop Jarak Jauh Sistem Windows
• Penetrasi Domain - Menggunakan SYSVOL untuk memulihkan kata sandi yang disimpan dalam Kebijakan Grup
• Serangan dan Pertahanan Log Windows
• Pemrosesan log intrusi yang sederhana untuk menang
• 6 Cara Mendapatkan Hak Admin Domain dari Active Directory
• 3gsTips Siswa/Pentest-dan-Pengembangan
• Ringkasan dan susunan TIPS kecil umum dalam pengujian penetrasi
• 60 Bytes - Eksperimen Pengujian Penetrasi Tanpa File
• 3389pengguna tidak dapat ditambahkan
• Buang PSEXEC dan gunakan wmi untuk penetrasi lateral
• ringkasan seri eskalasi hak istimewa domain ms14-068
• Buat alat pengujian otomatis Bypass UAC untuk melewati versi terbaru Win10
• DoubleAgent - injeksi perangkat lunak anti-virus pasca-eksploitasi
• Mengekstrak Hash NTLM dari file keytab
• Ekspor kata sandi yang disimpan di Chrome secara offline
• Tips Penetrasi—Gunakan Masterkey untuk Mengekspor Kata Sandi Secara Offline yang Disimpan di Browser Chrome
• Penetrasi Domain - Kerberoasting
• Detail sepele dari alat lama PsExec
• Penetrasi Domain: Menggunakan CrackMapExec untuk Mendapatkan Apa yang Kita Inginkan
• Delegasi dalam Seri Eksplorasi Protokol Kerberos
• Membalikkan serangan mstsc melalui RDP untuk memantau clipboard
• Ekstrak kredensial dari jarak jauh
• Memikirkan kembali pencurian kredensial
• Penggunaan aktual kentang hantu
• PowerView
• Pentingnya WMI dalam Pengujian Penetrasi
• Anjing polisi
• Panduan Pengguna Resmi BloodHound
• Penyedia Antarmuka Pemindaian Antimalware untuk Persistensi melalui Persistensi Penyedia AMSI
• Gerakan Lateral Penjadwal Tugas memperkenalkan penggunaan tugas yang dijadwalkan dalam gerakan yang lebih kecil

• Linux-Kernel-Exploitation Linux Kernel Exploitation Harus Dibaca
• Menangkan Privilege Escalation Auxiliary Tool
• Windows-Kernel-Eksploit Koleksi kerentanan eskalasi privilege platform Windows
• Linux-Kernel-Exploits Linux Platform Privilege Espalation Volnerability Collection
• Pengantar terperinci untuk serangan eskalasi hak istimewa Linux dan eksploitasi defensif

• Bug Bounty Writeups - Mirip dengan Perpustakaan Kerentanan Wuyun.
• hackone-hacktivity jika Anda selesai membaca ini, Anda tidak perlu membaca bug_bounty berikut
• Awesome-Bug-Bounty-Daftar program karunia bug yang dikuratori komprehensif dan penulisan dari pemburu hadiah bug
• Pengintaian
• Bugbounty-Cheatsheet
• Bug-Bounty-Reference
• Peretasan Web 101 Versi Cina
• Webmin <= 1.920 Eksekusi Perintah Jarak Jauh Kerentanan-CVE-2019-15107-Disempurnakan
• Webmin CVE-2019-15642
• Memulai dengan Chrome Ext Security dari 0 (1) - Memahami Ext Chrome
• Memulai dengan Chrome Ext Security dari 0 (2) - Safe Chrome Ext
• Melihat masalah keamanan skema URL sisi PC dari CVE-2018-8495
• Diskusi singkat tentang keamanan URL pendek

• XXE (XML Injeksi Entitas Eksternal) Praktek Kerentanan
• Cara mengeksploitasi kerentanan injeksi XXE di situs web Uber
• Apa yang kita pikirkan saat XXE disebutkan?
• Pemahaman dan pengujian kerentanan XXE sederhana
• Proses Deteksi Kerentanan XXE dan Kode Eksekusi
• Diskusi singkat tentang serangan dan pertahanan kerentanan XXE
• Analisis Kerentanan XXE
• XML Entitas Injeksi Kerentanan dan Pertahanan
• Eksploitasi dan Pembelajaran Kerentanan Injeksi Entitas XML
• Injeksi XXE: Serang dan Cegah- XXE Injeksi: Serang dan Cegah
• Berburu di xxe mengetik night-blind
• Berburu dalam gelap - buta xxe
• Modul Pelatihan Kerentanan Entitas Xmlexternal
• Pendapat saya tentang serangan dan pertahanan kerentanan xxe
• Beberapa tips untuk mengeksploitasi kerentanan xxe
• Jenis Konten Magis - Serangan XXE di JSON
• Lembar cheat XXE-DTD
• Melewati deteksi XXE dengan beberapa CM melalui pengkodean
• Menggunakan Excel untuk melakukan serangan XXE
• Analisis Kerentanan Serangan XXE Menggunakan File Excel
• Perpustakaan Dependen Excel
• Unggah file dokumen xxe
• Artikel untuk memberi Anda pemahaman mendalam tentang kerentanan: kerentanan xxe

• Awesomexss
• Diskusi Singkat tentang XSS - Karakter Pengkodean dan Prinsip Parsing Browser
• Pemahaman mendalam tentang prinsip parsing pengkodean XSS
• Kode dan prinsip eksploitasi XSS umum
• Pertahanan Front-End Dari Masuk ke Pengabaian-Perubahan CSP
• Memo pengujian XSS
• Diskusi singkat tentang serangan dan pertahanan scripting lintas situs
• The Art of Cross-Site: Teknik Fuzzing XSS
• Dari pisau tentara swiss ke transformer-xss menyerang ekspansi permukaan
• Keterampilan Pengujian Penetrasi: Eksploitasi dan Pikiran Kerentanan yang Disebabkan oleh XSS
• XSS_BYPASS_UPPERCASE
• Komunikasi dan Penelitian XSSPAYLOAD
• Ingat proses menemukan kerentanan XSS yang disimpan
• Petualangan Terobosan XSS
• Catatan XSS Xiangxiang (1)
• Album Black -Hole - Tutup Membaca
• Intranet XSS Worm
• Menerobos pasar gelap dan menangkan grup stasiun memancing untuk pertandingan seperti ayam DNF
• Seri Keamanan Front-End (1): Bagaimana cara mencegah serangan XSS?
• Unggah file Word untuk membentuk jalur XSS yang disimpan
• XSS tanpa tanda kurung dan semi-kolon

• Parsing injeksi JSONP
• Gunakan JSONP untuk mendapatkan informasi di seluruh domain
• Mendiskusikan serangan dan pertahanan strategi asal yang sama
• Diskusi singkat tentang domain silang 11
• Gunakan Deteksi Permintaan Gabungan Bypass Referer (JSONP)

• JSONP dan penambangan kerentanan CORS
• Diskusi singkat tentang kemungkinan kerentanan yang disebabkan oleh CORS
• Panduan Lengkap untuk Keamanan CORS

• Beberapa pemikiran tentang json csrf
• Bicara tentang serangan CSRF dalam format JSON

• Beberapa tips tentang SSRF
• Tentang Ide Penambangan Kerentanan SSRF
• SSRF di Java
• DNS Rebinding Auto
• Analisis transmisi melewati serangan kebijakan asal-kata yang sama melalui DNS rebinding
• Pengalaman Penambangan Kerentanan SSRF
• Pelajari tentang SSRF
• SSRF & REDIS
• Gopher-Attack-Surfaces
• Gunakan DNS Rebinding ke Bypass SSRF di Java

• Memo injeksi mysql
• Analisis singkat pengkodean karakter dan injeksi SQL dalam audit kotak putih
• Penjelasan mendalam tentang injeksi byte luas
• Beberapa metode penulisan shell berdasarkan mysql
• Serangan dan pertahanan injeksi mssql
• Proses mendapatkan webshell dengan otoritas DBA mssql
• SQLite Manual Injection Getshell Tips

• File PHP berisi kerentanan

• Unggah Kisaran Kerentanan

• Penelitian tentang Kerentanan Bacaan File Seberat Baru
• Catatan Kerentanan Bacaan File yang Sewenang -wenang
• Kamus Umum untuk Pembacaan File Sewenang -wenang

• Serangan spoofing cache web
• Tes spoofing cache web

• Keracunan cache web praktis

• Ringkasan Analisis SSI Inklusi Sisi Server

• Penelitian tentang masalah injeksi sisi server yang dihadapi dalam pengembangan Flask Jinja2
• Penelitian tentang masalah injeksi sisi server yang dihadapi dalam pengembangan FlaskJinja2 II

• Hal itu tentang clipboard pemerkosaan situs web
• Bahaya tersembunyi dan pertahanan referensi skrip eksternal
• Dua ringkasan penetrasi bypass front-end
• Cara meledakkan data yang dienkripsi oleh ujung depan
• Ide dan metode peledakan dengan mengenkripsi kata sandi akun login dan kemudian mengirimkannya

• Ringkasan Pembelajaran Kerentanan Transfer Domain DNS
• Menggunakan Python untuk mengimplementasikan deteksi nama domain DGA
• DNS-Persist: Menggunakan protokol DNS untuk komunikasi remote control
• Prinsip dan contoh serangan DNS lokal
• Respons kesalahan DNS
• Solusi Sipil Deteksi Terowongan DNS
• Bagaimana DNS Pan-Analisis Dipecah oleh Peretas
• DNS Tunneling dan Implementasi Terkait
• Alat transfer domain DNS
• Penggunaan Praktis Dnslog dalam Injeksi SQL

• Cara membatalkan berbagai operasi kesalahan di git
• Tips Git

• Analisis WeChat Netting-Qrlacking dan pemanfaatan-memindai kode QR saya untuk mendapatkan izin akun Anda
• Diskusi tentang serangan kerentanan kode QR di bawah platform Android
• Analisis Cacat Umum Login Kode QR
• Contoh Kode QR Security-Taobao

• Diskusi singkat tentang perayap dinamis dan deduplikasi
• Diskusi singkat tentang perayap dinamis dan deduplikasi (lanjutan)
• Dasar -Dasar Crawler [Pemindai Kerentanan Web]

Saya akan menebusnya ketika saya memikirkannya sebelumnya.

• chrome-is-bad chrome menyebabkan mac lambat
• zsh dan oh zsh saya zsh optimasi kecepatan start dingin

• 10 mesin pencari web dalam
• Saya melihat puluhan ribu informasi pribadi pemilik mobil, informasi pejabat perusahaan dan pemerintah, dan berbagai data tentang Baidu Netdisk.
• Postur baru yang diperoleh dari pertanyaan CTF
• IPhone mengunci layar tetapi tidak dapat mengunci informasi pribadi.
• Brother Xian mengimpor perintah sihir hitam dari konferensi Hitb Hacker di Singapura.
• Pentingnya Pemrograman - Kode Sumber SQLMAP
• Lebih dari 400 situs web populer merekam tombol pengguna atau bocor informasi pribadi yang sensitif
• HTTPS membajak pemahaman
• Pemecahan masalah umum TCP
• Chip QuickPass kartu bank membaca informasi pribadi melalui EVM/PBOC
• Deduplikasi file teks txt dan impor ke dalam database untuk diproses
• Analisis spoofing file dalam propagasi virus disk U
• Analisis mendalam: Garis pertahanan sidik jari ponsel Maginot
• Kumpulan Slang Internet + Tips |
• 1,4 miliar data asing
• Setelah file kata dienkripsi
• Laporan Penelitian Sumber Ancaman Hitam Internet Tencent 2017
• Alat pencucian uang "kartu pengisian ulang ponsel" nomor kartu dan kartu rahasia industri abu -abu rantai pencucian tunai
• METODE MUDATION MUKU
• Alat Python untuk menganalisis data risiko
• Diskusi Teknis |.
• google.com/machine-learning/crash-course/
• Posisi jarak jauh dan pelacakan kendaraan yang terhubung dan analisis ide pemanfaatan
• Studi Pendahuluan tentang Serangkaian Serangan dan Pertahanan Kunci Cerdas
• pandangan dunia saya
• Artefak untuk mencuri file disk U
• Ringkasan Inspeksi/Penetrasi Keamanan Intranet
• Penetrasi intranet Linux
• Eksplorasi dan verifikasi ide -ide baru untuk ide penetrasi intranet
• Seri Penetrasi Domain Primer- 01. Pengantar Dasar & Akuisisi Informasi
• Seri Penetrasi Domain Primer- 02. Metode Serangan Umum- 1
• Seri Penetrasi Domain Primer 03. Metode Serangan Umum
• Basis dan proses pengetahuan penetrasi intranet
• Tips Serangan Remteam dan Pertahanan Keamanan
• Web-Security-Note
• Artikel yang lebih baik tentang keamanan web - terutama bagi pendatang baru untuk memulai
• Fuzz Automation Bypass Soft WAF Postur
• Grey Robe 2017
• Memulai dengan Perjalanan Tim Merah
• Metode dekripsi hard drive tidak resmi
• Linux-Suid-privilege-Escalation
• Hard_winguide.md
• Enterprise-registration-data-of-chinese-Mainland
• Koran Blackboard Brother Dao - Seorang pria muda yang berpikir dalam dan ahli sejati
• Mengapa Ping Menggunakan UDP Port 1025 Ada Hanya Socket/Connect/Getsockname/Tutup, Tujuannya adalah untuk mendapatkan Sumber IP

tua

 ### 建设

* [Enterprise_Security_Build--Open_Source](https://bloodzer0.github.io)
* [一个人的安全部](http://www.freebuf.com/articles/security-management/126254.html)
* [没有钱的安全部之资产安全](http://www.jianshu.com/p/572431447613?from=timeline)
* [一个人的企业安全建设实践](https://xianzhi.aliyun.com/forum/topic/1568/)
* [单枪匹马搞企业安全建设](https://xianzhi.aliyun.com/forum/topic/1916)
* [“一个人”的互金企业安全建设总结](http://www.freebuf.com/articles/neopoints/158724.html)
* [低成本企业安全建设部分实践](https://xianzhi.aliyun.com/forum/topic/1996)
* [饿了么运维基础设施进化史](https://mp.weixin.qq.com/s?__biz=MzA4Nzg5Nzc5OA==&mid=2651668800&idx=1&sn=615af5f120d1298475aaf4825009cb30&chksm=8bcb82e9bcbc0bff6309d9bbaf69cfc591624206b846e00d5004a68182c934dab921b7c25794&scene=38#wechat_redirect)
* [B站日志系统的前世今生](https://mp.weixin.qq.com/s/onrBwQ0vyLJYWD_FRnNjEg)
* [爱奇艺业务安全风控体系的建设实践](https://mp.weixin.qq.com/s/2gcNY0LmgxpYT1K6uDaWtg)
* [美团外卖自动化业务运维系统建设](https://tech.meituan.com/digger_share.html)
* [携程安全自动化测试之路](http://techshow.ctrip.com/archives/2315.html)
* [企业安全中DevSecOps的一些思考](http://www.freebuf.com/articles/es/145567.html)
* [企业安全经验 应急响应的战争](http://www.freebuf.com/articles/web/155314.html)
* [企业安全项目架构实践分享](https://xianzhi.aliyun.com/forum/topic/1718)
* [以溯源为目的蜜罐系统建设](http://www.4hou.com/technology/9687.html)
* [蜜罐与内网安全从0到1（一）](https://xianzhi.aliyun.com/forum/topic/998)
* [蜜罐与内网安全从0到1（二）](https://xianzhi.aliyun.com/forum/topic/997)
* [蜜罐与内网安全从0到1（三）](https://xianzhi.aliyun.com/forum/topic/996)
* [蜜罐与内网安全从0到1（四）](https://xianzhi.aliyun.com/forum/topic/1730)
* [蜜罐与内网安全从0到1（五）](https://xianzhi.aliyun.com/forum/topic/1955)
* [企业安全建设—模块化蜜罐平台的设计思路与想法](https://xianzhi.aliyun.com/forum/topic/1885)
* [蜜罐调研与内网安全](https://xz.aliyun.com/t/7294)
* [Real-timeDetectionAD](https://github.com/sisoc-tokyo/Real-timeDetectionAD_ver2) - https://bithack.io/forum/505 - 域内蜜罐
* [HFish](https://bithack.io/forum/505) - 蜜罐框架
* [opencanary_web](https://github.com/p1r06u3/opencanary_web)
* [tpotce](https://github.com/dtag-dev-sec/tpotce/)
* [ElastAlert监控日志告警Web攻击行为](http://www.freebuf.com/articles/web/160254.html)
* [OSSIM分布式安装实践](https://www.secpulse.com/archives/67514.html)
* [企业信息安全团队建设](https://xianzhi.aliyun.com/forum/topic/1965)
* [一个人的安全部之ELK接收Paloalto日志并用钉钉告警](http://www.freebuf.com/articles/others-articles/161905.html)
* [账号安全的异常检测](https://mp.weixin.qq.com/s/qMjNURydlhzby9Qhs6RZhQ)
* [一般型网站日志接入大数据日志系统的实现](http://www.freebuf.com/column/166112.html)
* [基础设施的攻击日志 – 第1部分：日志服务器的设置](https://www.secpulse.com/archives/70001.html)
* [基础设施的攻击日志记录 – 第2部分：日志聚合](https://www.secpulse.com/archives/70016.html)
* [基础设施攻击日志记录 – 第3部分：Graylog仪表板](https://www.secpulse.com/archives/70149.html)
* [基础设施的攻击日志记录 – 第4部分：日志事件警报](https://www.secpulse.com/archives/70207.html)
* [宜信防火墙自动化运维之路](http://www.freebuf.com/articles/security-management/166895.html)
* [证书锁定](https://www.secpulse.com/archives/75212.html)
* [中通内部安全通讯实践](https://xz.aliyun.com/t/3759)
* [那些年我们堵住的洞 – OpenRASP纪实](https://anquan.baidu.com/article/855)
* [源头之战，不断升级的攻防对抗技术 —— 软件供应链攻击防御探索](https://security.tencent.com/index.php/blog/msg/140)
* [网络空间安全时代的红蓝对抗建设](https://security.tencent.com/index.php/blog/msg/139)

#### 加固

* [Linux基线加固](https://mp.weixin.qq.com/s/0nxiZw1NUoQTjxcd3zl6Zg)
* [基线检查表&安全加固规范](https://xianzhi.aliyun.com/forum/topic/1127/)
* [浅谈linux安全加固](https://mp.weixin.qq.com/s/y8np-sFzik15x09536QA5w)
* [CentOS 7 主机加固](http://www.cnblogs.com/xiaoxiaoleo/p/6678727.html)
* [APACHE 常见加固](http://cncc.bingj.com/cache.aspx?q=APACHE+%E5%B8%B8%E8%A7%81%E5%8A%A0%E5%9B%BA++0xmh&d=4797622048333774&mkt=zh-CN&setlang=zh-CN&w=WrFf2nH3PRyFtNxa6T7D-zazauskMnwg)
* [Apache服务器安全配置](http://webcache.googleusercontent.com/search?q=cache:GZSS-N0OXY8J:foreversong.cn/archives/789+&cd=1&hl=zh-CN&ct=clnk&gl=sg&lr=lang_en%7Clang_zh-CN)
* [GNU/Linux安全基线与加固](http://cb.drops.wiki/drops/tips-2621.html)
* [windows服务器安全配置策略](https://www.yesck.com/post/528/)
* [15步打造一个安全的Linux服务器](https://www.freebuf.com/articles/system/121540.html)
* [Tomcat7 加固清单](https://threathunter.org/topic/59911277ec721b1f1966e7eb)
* [Tomcat安全设置和版本屏蔽](http://www.freebuf.com/column/163296.html)
* [IIS服务器安全配置](http://foreversong.cn/archives/803)
* [企业常见服务漏洞检测&修复整理](http://www.mottoin.com/92742.html)
* [运维安全概述](http://cb.drops.wiki/drops/%E8%BF%90%E7%BB%B4%E5%AE%89%E5%85%A8-8169.html)
* [浅谈Linux系统MySQL安全配置](https://mp.weixin.qq.com/s/0KrfdrjbcRdvSTKxoNHOcA)
* [Hardening Ubuntu](https://github.com/konstruktoid/hardening)
* [Tomcat Config Security](https://joychou.org/operations/tomcat-config-security.html)
* [安全运维中基线检查的自动化之ansible工具巧用](https://bbs.ichunqiu.com/thread-46896-1-1.html?from=snew)
* [https://github.com/netxfly/sec_check](https://github.com/netxfly/sec_check)

#### 响应 溯源

* [awesome-incident-response](https://github.com/meirwah/awesome-incident-response) - A curated list of tools and resources for security incident response, aimed to help security analysts and DFIR teams.
* [黑客入侵应急分析手工排查](https://xianzhi.aliyun.com/forum/topic/1140/)
* [应急tools](https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md)
* [Linux服务器应急事件溯源报告](http://wooyun.jozxing.cc/static/drops/tips-12972.html)
* [应急响应小记链接已挂](https://threathunter.org/topic/5943a99c1e3732874e23f996)
* [大型互联网企业入侵检测实战总结](https://xz.aliyun.com/t/1626/)
* [Linux应急响应姿势浅谈](http://bobao.360.cn/learning/detail/4481.html)
* [安全应急姿势](http://rinige.com/index.php/archives/824/)
* [Web日志安全分析浅谈](https://xianzhi.aliyun.com/forum/topic/1121/)
* [域名劫持事件发生后的应急响应策略](http://www.freebuf.com/articles/security-management/118425.html)
* [我的日志分析之道：简单的Web日志分析脚本 ](http://www.freebuf.com/sectool/126698.html)
* [攻击检测和防范方法之日志分析](http://www.freebuf.com/articles/web/109001.html)
* [Tomcat日志如何记录POST数据](https://secvul.com/topics/1087.html)
* [邮件钓鱼攻击与溯源](https://4hou.win/wordpress/?p=28874)
* [应急响应实战笔记](https://github.com/Bypass007/Emergency-Response-Notes) - Bypass007
* [某云用户网站入侵应急响应](http://www.freebuf.com/articles/network/134372.html)
* [IP 定位逆向追踪溯源访客真实身份调查取证](https://lcx.cc/post/4595/)
* [域名背后的真相，一个黑产团伙的沦陷](https://www.freebuf.com/articles/terminal/127228.html)
* [看我如何从54G日志中溯源web应用攻击路径](https://paper.tuisec.win/detail/a56f79f0d7126f5)

#### 综合

* [企业安全实践(基础建设)之部分资产收集](http://www.freebuf.com/column/157085.html)
* [企业安全实践(基础建设)之IP资产监控](http://www.freebuf.com/column/157496.html)
* [企业安全实践(基础建设)之主动分布式WEB资产扫描](http://www.freebuf.com/column/157546.html)
* [企业安全实践(基础建设)之被动扫描自动化(上)](http://www.freebuf.com/column/157635.html)
* [企业安全实践(基础建设)之被动扫描自动化(中)](http://www.freebuf.com/column/157947.html)
* [企业安全实践(基础建设)之被动扫描自动化(下)](http://www.freebuf.com/column/157996.html)
* [企业安全实践(基础建设)之WEB安全检查](http://www.freebuf.com/column/158358.html)
* [企业安全实践(基础建设)之HIDS（上）](http://www.freebuf.com/column/158449.html)
* [企业安全实践(基础建设)之HIDS（下）](http://www.freebuf.com/column/158677.html)
* [0xA1: 新官上任三把火](https://zhuanlan.zhihu.com/p/26485293)
* [0xA2 应急响应、防御模型与SDL](https://zhuanlan.zhihu.com/p/26542790)
* [0xA3 安全域划分和系统基本加固](https://zhuanlan.zhihu.com/p/26603906)
* [0xB1 微观安全——一台服务器做安全](https://zhuanlan.zhihu.com/p/27363168)
* [0xB2 事件应急——企业内网安全监控概览](https://zhuanlan.zhihu.com/p/29816766)
* [0xB3 再谈应急响应Pt.1 unix主机应急响应
  elknot](https://zhuanlan.zhihu.com/p/29958172)
* [0xB4 企业安全建设中评估业务潜在风险的思路](https://zhuanlan.zhihu.com/p/31263844?group_id=916355317818970112)
* [企业安全体系建设之路之系统安全篇](https://xianzhi.aliyun.com/forum/topic/1949)
* [企业安全体系建设之路之网络安全篇](https://xianzhi.aliyun.com/forum/topic/1950)
* [企业安全体系建设之路之产品安全篇](https://xianzhi.aliyun.com/forum/topic/1951)
* [SOC异闻录](https://www.anquanke.com/post/id/95231)
* [开源软件创建SOC的一份清单](http://www.freebuf.com/articles/network/169632.html)
* [开源SOC的设计与实践](http://www.freebuf.com/articles/network/173282.html)
* [F5 BIG-IP Security Cheatsheet](https://github.com/dnkolegov/bigipsecurity)

#### 原bug bounty
* [SRC漏洞挖掘小见解](http://www.mottoin.com/95043.html)
* [面向SRC的漏洞挖掘总结](http://blkstone.github.io/2017/05/28/finding-src-vuls/)
* [漏洞挖掘经验分享Saviour](https://xianzhi.aliyun.com/forum/topic/1214/)
* [我的SRC之旅](https://mp.weixin.qq.com/s/2ORHnywrxXPexviUYk7Ccg)
* [浅析通过"监控"来辅助进行漏洞挖掘](https://bbs.ichunqiu.com/thread-28591-1-1.html)
* [威胁情报-生存在SRC平台中的刷钱秘籍](https://bbs.ichunqiu.com/article-921-1.html)
* [威胁情报](https://mp.weixin.qq.com/s/v2MRx7qs70lpnW9n-mJ7_Q)
* [YSRC众测之我的漏洞挖掘姿势](https://bbs.ichunqiu.com/article-655-1.html)
* [SRC的漏洞分析](https://bbs.ichunqiu.com/thread-19745-1-1.html)
* [众测备忘手册](https://mp.weixin.qq.com/s/4XPG37_lTZDzf60o3W_onA)
* [挖洞技巧：如何绕过URL限制](https://www.secpulse.com/archives/67064.html)
* [挖洞技巧：APP手势密码绕过思路总结](https://www.secpulse.com/archives/67070.html)
* [挖洞技巧：支付漏洞之总结](https://www.secpulse.com/archives/67080.html)
* [挖洞技巧：绕过短信&邮箱轰炸限制以及后续](http://mp.weixin.qq.com/s/5OSLC2GOeYere9_lT2RwHw)
* [挖洞技巧：信息泄露之总结](https://www.secpulse.com/archives/67123.html)
* [阿里云oss key利用](https://www.t00ls.net/viewthread.php?tid=52875&highlight=oss)
* [任意文件下载引发的思考](https://www.secpulse.com/archives/68522.html)
* [任意文件Getshell](https://xz.aliyun.com/t/6958)
* [通用性业务逻辑组合拳劫持你的权限](https://www.anquanke.com/post/id/106961)
* [组合漏洞导致的账号劫持](https://xz.aliyun.com/t/3514)
* [我的通行你的证](https://lvwei.me/passport.html#toc_0)
* [那些年我们刷过的SRC之企业邮箱暴破](https://www.secquan.org/Discuss/262)
* [各大SRC中的CSRF技巧](https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=28448&highlight=src)
* [一些逻辑](https://secvul.com/topics/924.html)
* [一个登陆框引起的血案](http://www.freebuf.com/articles/web/174408.html)
* [OAuth回调参数漏洞案例解析](https://03i0.com/2018/04/01/OAuth%E5%9B%9E%E8%B0%83%E5%8F%82%E6%95%B0%E6%BC%8F%E6%B4%9E%E6%A1%88%E4%BE%8B%E8%A7%A3%E6%9E%90/)
* [子域名接管指南](https://www.secpulse.com/archives/95304.html)
* [Subdomain Takeover](https://www.secpulse.com/archives/94973.html)
* [Subdomain Takeover/can-i-take-over-xyz](https://github.com/EdOverflow/can-i-take-over-xyz)
* [Subdomain-takeover](https://echocipher.github.io/2019/08/14/Subdomain-takeover/)
* [过期链接劫持的利用方法探讨](http://www.freebuf.com/articles/web/151836.html)
* [国外赏金之路](https://blog.securitybreached.org/2017/11/25/guide-to-basic-recon-for-bugbounty/) - 老司机赏金见解,历史赏金文章 list
* [记一次失败的0元单的挖掘历程与一处成功的XSS案例](https://bbs.ichunqiu.com/article-636-1.html)
* [看我如何发现谷歌漏洞跟踪管理平台漏洞获得$15600赏金](http://www.freebuf.com/articles/web/152893.html)
* [看我如何利用简单的配置错误“渗透”BBC新闻网](http://www.freebuf.com/news/155558.html)
* [分享一个近期遇到的逻辑漏洞案例](http://www.freebuf.com/vuls/151196.html)
* [我是如何挖掘热门“约P软件”漏洞的](http://www.freebuf.com/articles/web/157391.html)
* [新手上路 | 德国电信网站从LFI到命令执行漏洞](http://www.freebuf.com/articles/web/156950.html)
* [Taking over Facebook accounts using Free Basics partner portal](https://www.josipfranjkovic.com/blog/facebook-partners-portal-account-takeover)
* [The bug bounty program that changed my life](http://10degres.net/the-bugbounty-program-that-changed-my-life/)
* [挖洞经验 | 看我如何免费获取价值€120的会员资格](http://www.freebuf.com/articles/web/172438.html)
* [Scrutiny on the bug bounty](https://xz.aliyun.com/t/3935)
* [1hack0/Facebook-Bug-Bounty-Write-ups](https://github.com/1hack0/Facebook-Bug-Bounty-Write-ups)

* [Java反序列化漏洞-金蛇剑之hibernate(上)](https://xianzhi.aliyun.com/forum/topic/2030)
* [Java反序列化漏洞-金蛇剑之hibernate(下)](https://xianzhi.aliyun.com/forum/topic/2031)
* [Java反序列化漏洞-玄铁重剑之CommonsCollection(上)](https://xianzhi.aliyun.com/forum/topic/2028)
* [Java反序列化漏洞-玄铁重剑之CommonsCollection(下)](https://xianzhi.aliyun.com/forum/topic/2029)
* [Java反序列化漏洞从入门到深入](https://xianzhi.aliyun.com/forum/topic/2041)
* [Java反序列化备忘录](https://xianzhi.aliyun.com/forum/topic/2042)
* [Java反序列化漏洞之殇](https://xianzhi.aliyun.com/forum/topic/2043)
* [Java反序列化漏洞学习实践一：从Serializbale接口开始，先弹个计算器](http://www.polaris-lab.com/index.php/archives/447/)
* [Java反序列化漏洞学习实践二：Java的反射机制（Java Reflection）](http://www.polaris-lab.com/index.php/archives/450/)
* [Java反序列化漏洞学习实践三：理解Java的动态代理机制](http://www.polaris-lab.com/index.php/archives/453/)

Kami menyambut semua orang untuk berkontribusi, Anda dapat membuka masalah untuk ini jika Anda memiliki beberapa ide baru tentang proyek ini atau Anda telah menemukan beberapa artikel keselamatan berkualitas, dan kemudian saya akan menambahkan nama Anda ke pengakuan.

• @tom0li
• @Neargle
• @r4v3zn

Terima kasih Star