现阶段WAF还不能检测出逻辑漏洞认证(Authentication)=证明你是本人授权(Authorization)=认证后能做些什么事情威胁建模=看到功能点能反映出对应的威胁。威胁是危害的来源，风险的后果一定是损失(白帽子1.6.2)。什么任意修改密码啊，都是访问控制没做到位(授权)访问控制...

SearchSploitsearchsploit和exploit内容一致，用来快速获取漏洞信息(通用漏洞)。教程https://www.offensive-security.com/metasploit-unleashedmsf主目录/usr/share/metasploit-framewor...

案例一在公司这几天收到CSO发来不少火绒告警讯息，通过查看信息发现是攻击445端口，这一看很可能是永恒之蓝呀。通过对这台机器端口扫描结果发现对方也开了445😶135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open mi...

有时查查资料得上Google，今儿个折腾了一下，记录于此。由于CentOS7坑太多，把VPS系统换成Ubuntu16.04了。服务端设置安装 apt install python-pip && pip install shadowsocks 写配置文件在/etc/shadows...

安装中文语言包无法解决(乱码)找到工具栏Tools -> Options -> Interface界面右下角有个 Select List Font，点开后还是乱码，没关系直接打字它就会筛选出中文字体，我这选的是微软雅黑(也可选择其他中文字体)。成功解决