最近总结整理了 TLS Poison 攻击相关的知识,本文会继续讲 TLS Poison 利用,以及其在 CTF 的实际运用,也通过这个题目来聊聊 FTPS 相关知识。

文章首发于长亭安全课堂:TLS-Poison 攻击方式在真实CTF赛题中的利用实践 https://mp.weixin.qq.com/s/ZziSf69AOyXoI0IgC0UyUQ

Read More

这是《一篇文章带你读懂 XXX 攻击》系列的第二篇文章,本篇文章主要讲述 TLS Poison 攻击对应的三种攻击方式、一些可能算是“新”的 DNS Rebinding 技巧以及一些关于 IP 选择探索等内容。

文章首发于雷神众测,分为系列文章:

一篇文章带你读懂 TLS Poison 攻击(一)https://mp.weixin.qq.com/s/tAba3-qb5YGtlzH7y6PFvg

一篇文章带你读懂 TLS Poison 攻击(二)https://mp.weixin.qq.com/s/aIWcpIXs-jQoMXuEppj3TQ

一篇文章带你读懂 TLS Poison 攻击(三)https://mp.weixin.qq.com/s/vBAeGaeBKnSyXUL_qmr7Gg

一篇文章带你读懂 TLS Poison 攻击(四)https://mp.weixin.qq.com/s/YdV9Hlpz38d09JOdtf2PxA

Read More

距离 DEFCON 28 Final 已经过去了两个多月了,本来结束就写写,但是因为一些后来事耽搁了,现在补一下这次参赛的一些经历。

Read More

本文是关于 Plaid CTF 2020 Catalog 题目的一些复盘与探究。

Read More

Here is my write up of Contrived Web Problem in Plaid CTF 2020.

Read More

前几天 PortSwigger 发布了 Top 10 web hacking techniques of 2019,榜上的攻击技术都比较有意思,p牛也肯定会在小密圈做分享的(如果没有话本菜也会在自己博客做做学习分享),所以我们这里就不聊 Top 10 技术了,就看看在 Top 10 提名结果没上榜但是依旧很有意思的技术 Dom Clobbering。

文章首发于先知社区:https://xz.aliyun.com/t/7329

Read More

过年期间玩了一下国外的一个 XSS GAME,收获颇丰,记录一下学习过程。本人对于 JavaScript 以及前端的理解不深,水平也不高,如果文章有疏漏之处,还请师傅们斧正。

文章首发于安全客:https://www.anquanke.com/post/id/198496

Read More

签到选手不请自来,经过了好几天的琢磨,终于把这次比赛的题目都弄得差不多了,这里记录一下本次比赛 Web 题目的解法。

文章首发于先知社区:https://xz.aliyun.com/t/7081

Read More

This year’s Defcon 27 and Black Hat both mentioned HTTP DESYNC ATTACKS. I wanted to take the time to study it a few months ago, but I haven’t had much time. I recently took a look at it.

Sorry for my bad English. If you can read Chinese, I recommend you to read this in Chinese. The Chinese part is here 一篇文章带你读懂 HTTP Smuggling 攻击.

Read More

今年的 Defcon 27 与 Black Hat 上都有提到 HTTP DESYNC ATTACKS ,前几个月就想抽时间来研究研究了,奈何一直没什么时间,最近抽时间专门看了一下。

文章首发于先知社区:https://xz.aliyun.com/t/6878

Read More