分类： 黑客技术

绕过Razer基于DOM的XSS补丁可以教给我们什么,URI 片段部分永远不会发送到应用程序服务器,在执行代码审查时，我希望更好地了解开发人员的想法。换句话说，我们需要确定上面代码的用途并回答“为什么？”bypassing razers dom based xss filter

ctf Writeup | Hacky Holidays Writeup,Hacky Holidays Writeup: The notebook of the Grinch’s Punisher,Finding the Grinch’s Hidden Lair

Go中的SSTI方法混淆SSTI Method Confusion,该应用程序容易受到 SSTI 方法混淆的影响,通过滥用模板在 golang 中的工作方式，我们可以访问该ChangePassword方法并更改管理员的密码，从而允许我们接管管理员帐户并访问/admin

2022年中继攻击渗透测试综合指南,内部渗透测试团队通过一种称为 NTLM 中继的技术成功地获得了立足点，甚至损害了整个域,在 2022 年撰写这篇博文时，令人惊讶的是，中继仍然非常活跃。这篇博文旨在成为一个全面的资源，将介绍今天继续有效的攻击原语

蓝队技巧之如何限制XXE解析,在这篇文章中，我们将只关注限制 XXE 以及ACCESS_EXTERNAL_DTD属性。但是，请记住，限制对其他外部资源（如模式）的访问对于降低其他 XML 漏洞的风险也是必要的。将相对 URI 资源转换为绝对资源。