常见Web漏洞描述和修复建议，帮助大家快速水漏洞

【漏洞加固】常见Web漏洞修复建议

最近项目遇到一个有趣的App，通过简单的hook ssl绕过就能正常抓包，但是数据包里面有Sign签名，签名算法又是使用java2c 并且做了混淆，如果想要对数据包修改，就很麻烦并且还涉及到了反Frida。在这个过程中可谓是一波三折，从frida到xposed再最后到frida折来折去，过程还是学到挺多

安卓逆向实战-某加密算法

越来越多的桌面应用程序都使用了electron 开发，再加上最近私建企x爆发了xss漏洞，只要向特定用户发送消息就可以直接rce。所以想研究一下electron安全，本文主要是将了一下electron如何开发，和一些不安全配置下的Rce条件。目前最新版本electron的rce也是主要围绕三个安全配置来操作。

Electron安全初探

CS反制-ddos

在原有bypass大佬基础上增加部分内容

网络安全应急响应笔记

因项目需求，需要给 C/S 客户端应用系统做一次安全测试，特写此片文章来记录一下实战过程中所涉及的知识，欢迎各路大佬指点。

【C/S架构安全测试】客户端安全测试小结

利用CF的Workers和KV实现反向代理钓鱼

利用CF的Workers实现反向代理钓鱼

一次内部攻防比赛过程记录分享，感觉还是比较有收获的，其中涉及到了代码审计、代码开发、域渗透、多层隧道渗透

某内部攻防靶场经验分享

越来越多的网站使用jwt了，快学学卷起来，虽然没有在实战中成功过kuku

JWT渗透(json web token)

介绍使用m1Mac做App和wx渗透测试技巧

ios微信-Mac渗透

主要介绍一种遇到了前端加密情况下工具测试方法

前端加密加签之sqlmap自动化测试

每当遇到加密算法的apk我们都会想到使用反编译apk包，但是现在越来越多apk都使用了加壳技术，本文主要介绍一种使用hook方式自吐加解密算法的方式

免脱壳寻找加解密算法

每次遇到sql注入都是各种找用法文章，在这里记录一下sql注入中，我自己最常用的代码吧

sql注入备忘录

条件竞争漏洞其实就是并发漏洞，官方概念是“发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景中。

条件竞争漏洞

闲来无事刷一下burp官网的靶场，感觉还挺有意思的。尤其是专家关卡这边就记录一下专家关卡

portswigger-XSS靶场专家关卡

介绍本博客依靠notion和Vercel搭建免费个人博客，最后在使用免费CDN cloudflare 加速

Notion搭建个人博客

homeassistant + homekit + mihome米家 折腾记

 CRLF平时很少见，主要危害就是相对于xss来说不但能控制响应体还能控制响应体

CRLF漏洞

本来就很喜欢使用Notion，包括本Blog也是使用Notion来搭建，最近因为想把json的东西存到Notion中，于是就想到了使用

巧用Notion Api操作Notion

平时个人用Mac就安装了omz个人感觉非常好用，所以想在自己的云服务器上也使用上omz

centos安装zsh和omz

cmd混淆

巧用TLS隐藏FRP流量特征

红蓝对抗中，使用cs前的一些配置

使用cs前的一丢丢配置

学习思考

技术分享

留言板

Github

Pentesting

crypt

android

tools

vulnerability

burp

个人博客
佛系更新、可能不更、懒得一批、菜得一批、啥也不会