可爱柚

2022-09-09柚子

前言 ​在做项目中遇到各种各样waf，跟着本文系列一起学习bypass。   安装 环境：win+PHPstudy+安全狗   过程 安装phpstudy需要以系统模式启动，否则安全狗无法识别安装防护插件。 进入主题 1...

2022-09-06柚子

前言 最近在分析一款app时遇见了frida反调试，花了时间简单学习了一下，有不少收获，记录下学习的过程。 抛出问题 frida是一个很强大的hook框架，用的人多了，自然而然就出现了很多检测方案，这次碰到的app就检测了frida，可以正...

2022-09-01柚子

Twilio遭网络攻击后，黑客利用其访问权限窃取了Okta身份管理公司客户通过短信提供的一次性密码 (OTP)。 通过 Twilio 控制台，攻击者可以看到 Okta 客户的手机号码和 OTP。 早在8月4日，云通信公司 Twilio 发现...

2022-08-20柚子

webshell简述 webshell就是以各种网页文件形式存在的一种代码执行环境，攻击者可以通过webshell可以获取网站管理、服务器管理、权限管理，webshell攻击方法简单，只需上传一个代码文件，通过webshell管理工具连接即...

2022-08-12柚子

HTTP/3或HTTP over QUIC是超文本传输协议的第三个主要版本。HTTP 传统上是通过 TCP（传输控制协议）完成的。但是，TCP于1974年互联网开始发展。当 TCP 最初创建时，当时的研发人员无法预测网络的增长，因此产生了许...

2022-08-08柚子

Java审计其实和PHP审计的思路一样，唯一不同的可能是复杂的框架和代码。 1.正向跟踪 从数据层查找变量，一级一级调用，最后到控制器，这种相对简单、快速。 2.逆向思维，追踪变量，对象调用 查找变量，有没有传参数，是谁调用了这个变量，又是...