现代 Web 应用一般前后端分离，数据呢是 REST API 获取，那自然而然就用 JS 去发送请求。由于浏览器实施同源策略，JS 向其他域发起请求其响应内容会被忽略，无法获取，这时必须跨域才能获取数据。随便打开一个站点在 Console 执行 fetch('https://www.raing...

Server Side Request Forgery 中文叫服务器端请求伪造，是指一个正常向其他服务器获取数据的功能，此功能让用户提供资源地址，攻击者恶意利用此功能向其他服务器发起请求。说白了就是应用存在漏洞，后端程序可以操作服务器发送请求。这个漏洞常常出现在需要对外获取资源的功能，当功能对...

简介当你远程通过 SSH 连接到服务器，想在 Shell 中运行长时间运行一个脚本/命令，关了当前终端因为 SIGHUP 信号发现终端启动的所有进程收到此信号结束运行。此时有两种解决方法，使用 nohup 让程序忽略信号放在后台继续运行，比如 nohup ./test1.sh &，不过...

Web ScanAppScan由IBM开发的工具，扫描结果最全，速度超慢。Awvs可以用脚本批量扫站OWASP ZAPweb扫描器，类似于burp，就是没找到填写认证信息的模块。BurpSuiteXrayOS Scan扫描器无非是怎么扫、扫谁、计划任务、认证信息，几种模块。Nessus官网激活...

BurpSuite 启动后会根据系统缩放进行适配，图标和字体处于一种模糊状态，眼睛快瞎了。我笔记本当前缩放为 125%尝试过在属性设置缩放，无效。在 Burp 官网看到解决方案，也是没法解决。I encounter scaling issues on Windows 10 between my...