如果说有一个现成的防火墙,能够保护你的站点免受XSS攻击、运营商劫持、浏览器的流氓插件、用户环境的广告脚本注入、还能一定程度对抗爬虫和黑产脚本行为,是不是听起来很不错? 没错,Content-Security-Poli...
改BASH源码-实现BASH命令操作审计
一、需求背景 本次介绍的思路是修改bash源代码并重编译,以将bash执行的命令等信息输出到远程syslog服务器用于审计。有朋友可能会觉得,有了堡垒机为啥还需要这个?不妨想想以下场景: 有人绕过了堡垒机。...
谈谈救火与安全运营
应急响应、安全运营这项工作很考验安全工程师的综合素质。这里将应急响应和安全运营的价值、做事标准、发展方向写下来。具体做法细节不做叙述。 一、价值 每一次的应急响应、事件处置不仅是例行的跟进好,...
【i春秋】第十届全国大学生信息安全大赛之逆向–填数游戏
转自https://www.52pojie.cn/thread-623244-1-1.html 0x00前言 7月10号早晨8点,第十届全国大学生信息安全大赛正式落下帷幕(7月9号早晨8点正式开始)。大赛期间本着打助攻的心态,用了差不多6小时的时间,终...
【i春秋】第十届全国大学生信息安全大赛之逆向–apk题目
转自https://www.52pojie.cn/thread-625517-1-1.html 0x00前言 今天很高兴为大家带来第十届全国大学生信息安全大赛之逆向--apk题目的writeup。到目前为止,我还没看过官方的writeup或者其他人的writeup,所以...
【i春秋】第十届全国大学生信息安全大赛之逆向–溯源
转自https://www.52pojie.cn/thread-679776-1-1.html 0x00前言 考研结束了,终于可以有一段闲暇的时间了。在睡了一天后,不忘发个帖子,疏解一下空虚寂寞的心情,再加上今天是圣诞节。这个题目其实在暑假就已...
【又见AES】第十届全国大学生信息安全大赛之逆向–欢迎来到加基森
转自https://www.52pojie.cn/thread-685567-1-1.html 0x00前言 从难度上来看,这道题目是这次比赛逆向题目中最难的一个了(当然,这也是相对的,对于入门级的人来说,是一个比较大的挑战了,而对于赛场老手来...
【已完结】与字节码解释器比耐心(动态调试)
转自https://www.52pojie.cn/thread-700728-1-1.html 0x00前言 如题所言,本次的文章可能比较长,但是内容比较详细,适合新手学习,但是同样考验耐心。这次的文章严格说来是我上一篇文章遗留下来的历史问题,...
第二届强网杯-Picturelock-文件AES加密解密
转自https://www.52pojie.cn/thread-745278-1-1.html 0x00前言 又一次遇到AES加密,莫名有种亲切感。这道题目是第二届强网杯逆向题目中的一道,应该是逆向题目中的压轴题吧(我只收到三个逆向题目...
SSRF DNS rebind绕过
摘自http://www.mottoin.com/95734.html 0x00 传统SSRF过滤 传统SSRF过滤器的方式大致是以下几个步骤: 获取到输入的URL,从该URL中提取host 对该host进行DNS解析,获取到解析的IP 检测该IP是否是合...