Some are inconvenient to release.
Some forget update,can see me star.
Author: [tom0li]
Blog: https://tom0li.github.io
- awesome-web-security - list sec 集合
- Awesome-Hacking - 万星 list
- awesome-malware-analysis
- Android Security - Collection of Android security related resources.
- Security - Software, libraries, documents, and other resources.
- An Information Security Reference That Doesn't Suck
- Security Talks - Curated list of security conferences.
- OSINT - Awesome OSINT list containing great resources.
- Web-Security-Learning - by CHYbeta
- Software-Security-Learning - by CHYbeta
- MiscSecNotes - by JnuSimba notes
- AndroidSecNotes - notes
- LinuxSecNotes - notes
- Security Knowledge Structure
- information security Tools Box - by Nmask
- resource collection of python security and code review
- www.polaris-lab.com_Paper
- 灰袍2017
- The toolbox of open source scanners - The toolbox of open source scanners
- blackhat-arsenal-tools - Official Black Hat Arsenal Security Tools Repository
- 物联网安全百科 -by 伏宸安全实验室
- Web-Security-Note
- awesome-iot-hacks
- awesome-awesome
- Curated list of awesome lists
- Awesome Awesomness - The List of the Lists.
- PENTESTING-BIBLE - 安全相关的内容
- Awesome-Fuzzing
- Pentest_Interview
- Coding Interview University
- tech-interview-handbook - good
- 面试必备基础知识
- 算法/深度学习/NLP面试笔记
- reverse-interview - 技术面试最后反问面试官的话
开发
- 互联网 Java 工程师进阶知识完全扫盲
- Java学习+面试指南 一份涵盖大部分Java程序员所需要掌握的核心知识
- Python Cheat Sheet
- A collection of full-stack resources for programmers.
- web, 前端, javascript, nodejs, electron, babel, webpack, rollup, react, vue ...
- 关于Python的面试题
- 数据结构和算法必知必会的50个代码实现
- interview_internal_reference
- Python-100-Days
- python3-source-code-analysis
其它
- 信息安全从业者书单推荐
- 专为程序员编写的英语学习指南 v1.2
- 中国程序员容易发音错误的单词
- 租房要点,适用于北上广深杭
- SecLists - Collection of multiple types of lists used during security assessments.
- A collection of web attack payloads
- 安全相关思维导图整理收集 - by p牛
- 安全思维导图集合 -by SecWiki
- Android-Reports-and-Resources - HackerOne Reports
- AppSec - Resources for learning about application security.
- Honeypots - Honeypots, tools, components, and more.
- Infosec - Information security resources for pentesting, forensics, and more.
- YARA - YARA rules, tools, and people.
- macOS-Security-and-Privacy-Guide
- awesome-security-weixin-official-accounts
- Web安全中比较好的文章
- 996.Leave
- 对开发人员有用的定律、理论、原则和模式
- awesome-macOS - mac软件
- awesome-mac - mac软件
- jaywcjlove/handbook - 杂
- 保护隐私
- ruanyf - 科技爱好者周刊
- Top 10 Web Hacking Techniques of 2017
- 从 CVE-2018-8495 看 PC 端 url scheme 的安全问题
- fortigate-ssl-vpn -orange
- bypass沙箱 -yuange
- Webmin <=1.920 远程命令执行漏洞 -CVE-2019-15107 - 精炼
- Webmin CVE-2019-15642
- ImageMagick漏洞凑热闹手札
- 如何使用Fuzzing挖掘ImageMagick的漏洞
- ImageMagick-CVE-2016-3714 命令执行分析
- imagemagick 邂逅 getimagesize 的那点事儿
- fastjson反序列化利用
- FastJson =< 1.2.47 反序列化漏洞浅析
- FASTJSON反序列化之基于JNDI利用方式
- Fastjson反序列化漏洞调试分析
- FastJson 反序列化学习
- 浅谈Fastjson RCE漏洞的绕过史
- Enterprise_Security_Build--Open_Source
- 一个人的安全部
- 没有钱的安全部之资产安全
- 一个人的企业安全建设实践
- 单枪匹马搞企业安全建设
- “一个人”的互金企业安全建设总结
- 低成本企业安全建设部分实践
- 饿了么运维基础设施进化史
- B站日志系统的前世今生
- 爱奇艺业务安全风控体系的建设实践
- 美团外卖自动化业务运维系统建设
- 携程安全自动化测试之路
- 企业安全中DevSecOps的一些思考
- 企业安全经验 应急响应的战争
- 企业安全项目架构实践分享
- 以溯源为目的蜜罐系统建设
- 蜜罐与内网安全从0到1(一)
- 蜜罐与内网安全从0到1(二)
- 蜜罐与内网安全从0到1(三)
- 蜜罐与内网安全从0到1(四)
- 蜜罐与内网安全从0到1(五)
- 企业安全建设—模块化蜜罐平台的设计思路与想法
- Real-timeDetectionAD - https://bithack.io/forum/505 - 域内蜜罐
- HFish - 蜜罐框架
- opencanary_web
- tpotce
- ElastAlert监控日志告警Web攻击行为
- OSSIM分布式安装实践
- 企业信息安全团队建设
- 一个人的安全部之ELK接收Paloalto日志并用钉钉告警
- 账号安全的异常检测
- 一般型网站日志接入大数据日志系统的实现
- 基础设施的攻击日志 – 第1部分:日志服务器的设置
- 基础设施的攻击日志记录 – 第2部分:日志聚合
- 基础设施攻击日志记录 – 第3部分:Graylog仪表板
- 基础设施的攻击日志记录 – 第4部分:日志事件警报
- 宜信防火墙自动化运维之路
- 证书锁定
- 中通内部安全通讯实践
- 那些年我们堵住的洞 – OpenRASP纪实
- Linux基线加固
- 基线检查表&安全加固规范
- 浅谈linux安全加固
- CentOS 7 主机加固
- APACHE 常见加固
- Apache服务器安全配置
- GNU/Linux安全基线与加固
- windows服务器安全配置策略
- 15步打造一个安全的Linux服务器
- Tomcat7 加固清单
- Tomcat安全设置和版本屏蔽
- IIS服务器安全配置
- 企业常见服务漏洞检测&修复整理
- 运维安全概述
- 浅谈Linux系统MySQL安全配置
- Hardening Ubuntu
- Tomcat Config Security
- 安全运维中基线检查的自动化之ansible工具巧用
- https://github.com/netxfly/sec_check
- awesome-incident-response - A curated list of tools and resources for security incident response, aimed to help security analysts and DFIR teams.
- 黑客入侵应急分析手工排查
- 应急tools
- Linux服务器应急事件溯源报告
- 应急响应小记链接已挂
- 大型互联网企业入侵检测实战总结
- Linux应急响应姿势浅谈
- 安全应急姿势
- Web日志安全分析浅谈
- 域名劫持事件发生后的应急响应策略
- 我的日志分析之道:简单的Web日志分析脚本
- 攻击检测和防范方法之日志分析
- Tomcat日志如何记录POST数据
- 邮件钓鱼攻击与溯源
- 应急响应实战笔记 - Bypass007
- 某云用户网站入侵应急响应
- IP 定位逆向追踪溯源访客真实身份调查取证
- 域名背后的真相,一个黑产团伙的沦陷
- 看我如何从54G日志中溯源web应用攻击路径
- 企业安全实践(基础建设)之部分资产收集
- 企业安全实践(基础建设)之IP资产监控
- 企业安全实践(基础建设)之主动分布式WEB资产扫描
- 企业安全实践(基础建设)之被动扫描自动化(上)
- 企业安全实践(基础建设)之被动扫描自动化(中)
- 企业安全实践(基础建设)之被动扫描自动化(下)
- 企业安全实践(基础建设)之WEB安全检查
- 企业安全实践(基础建设)之HIDS(上)
- 企业安全实践(基础建设)之HIDS(下)
- 0xA1: 新官上任三把火
- 0xA2 应急响应、防御模型与SDL
- 0xA3 安全域划分和系统基本加固
- 0xB1 微观安全——一台服务器做安全
- 0xB2 事件应急——企业内网安全监控概览
- 0xB3 再谈应急响应Pt.1 unix主机应急响应 elknot
- 0xB4 企业安全建设中评估业务潜在风险的思路
- 企业安全体系建设之路之系统安全篇
- 企业安全体系建设之路之网络安全篇
- 企业安全体系建设之路之产品安全篇
- SOC异闻录
- 开源软件创建SOC的一份清单
- 开源SOC的设计与实践
- F5 BIG-IP Security Cheatsheet
- bugbountyguide
- awesome-bug-bounty - A comprehensive curated list of Bug Bounty Programs and write-ups from the Bug Bounty hunters
- bug bounty writeups
- bugbounty-cheatsheet
- bug-bounty-reference
- Web Hacking 101 中文版
- SRC漏洞挖掘小见解
- 面向SRC的漏洞挖掘总结
- 漏洞挖掘经验分享Saviour
- 我的SRC之旅
- 浅析通过"监控"来辅助进行漏洞挖掘
- 威胁情报-生存在SRC平台中的刷钱秘籍
- 威胁情报
- YSRC众测之我的漏洞挖掘姿势
- SRC的漏洞分析
- 众测备忘手册
- 挖洞技巧:如何绕过URL限制
- 挖洞技巧:APP手势密码绕过思路总结
- 挖洞技巧:支付漏洞之总结
- 挖洞技巧:绕过短信&邮箱轰炸限制以及后续
- 挖洞技巧:信息泄露之总结
- OSS对象存储上传解析漏洞
- 任意文件下载引发的思考
- 通用性业务逻辑组合拳劫持你的权限
- 组合漏洞导致的账号劫持
- 我的通行你的证
- 那些年我们刷过的SRC之企业邮箱暴破
- 各大SRC中的CSRF技巧
- 一些逻辑
- 一个登陆框引起的血案
- OAuth回调参数漏洞案例解析
- 子域名接管指南
- Subdomain Takeover
- Subdomain Takeover/can-i-take-over-xyz
- 过期链接劫持的利用方法探讨
- tom0li: 逻辑漏洞小结
- Weblogic 常见漏洞环境的搭建及其利用
- Tomcat安全测试概要
- 那些年让我们心惊胆战的IIS漏洞
- Mysql数据库渗透及漏洞利用总结simeon
- 攻击大数据应用:ZooKeeper
- 林林总总的Host Header Attack
- JBoss高危漏洞分析
- Redis未授权访问漏洞的重现与利用
- Redis安全总结
- Redis在Windows环境下Getshell
- Redis未授权访问在windows下的利用
- 常见Web源码泄露总结
- 未授权访问漏洞总结
- 端口渗透总结
- Web攻防之暴力破解 何足道版
- 登录加密算法破解秘籍
- JAVASCRIPT安全性问题总结
- 浅谈中间件漏洞与防护
- 中间件漏洞
- NFS的攻击与防御
- 利用Web应用中隐藏的文件夹和文件获取敏感信息
- ActiveMQ任意文件写入漏洞(CVE-2016-3088)学习
- Whitepaper: Security Cookies
- Kubernetes安全入门
- OOB
- solr-injection
- 国外赏金之路 - 老司机赏金见解,历史赏金文章 list
- 记一次失败的0元单的挖掘历程与一处成功的XSS案例
- 看我如何发现谷歌漏洞跟踪管理平台漏洞获得$15600赏金
- 看我如何利用简单的配置错误“渗透”BBC新闻网
- 分享一个近期遇到的逻辑漏洞案例
- 我是如何挖掘热门“约P软件”漏洞的
- 新手上路 | 德国电信网站从LFI到命令执行漏洞
- Taking over Facebook accounts using Free Basics partner portal
- The bug bounty program that changed my life
- 挖洞经验 | 看我如何免费获取价值€120的会员资格
- Scrutiny on the bug bounty
- 1hack0/Facebook-Bug-Bounty-Write-ups
- 乙方渗透测试之信息收集
- tom0li:浅谈信息收集
- 透过cdn找目标真实ip
- 浅谈Web渗透测试中的信息收集
- Kali Linux渗透基础知识整理(一):信息搜集
- 我眼中的渗透测试信息搜集
- 从phpinfo中能获取哪些敏感信息
- 透过F5获取服务器真实内网IP
- [红日团队]安全攻城师系列文章-敏感信息收集
- 论二级域名收集的各种姿势
- WEB应用中的信息泄漏以及攻击方法
- 实例演示如何科学的进行子域名收集
- 挖掘漏洞的高级方法和思维
- 渗透测试工程师子域名收集指南
- Red Team 视角的信息收集技术
- 渗透神器系列 搜索引擎
- Google Hacking Database
- Google Hacking
- Shodan自动化利用
- Shodan在渗透测试及漏洞挖掘中的一些用法
- Shodan的http.favicon.hash语法详解与使用技巧
- Shodan手册
- 渗透标准
- pentest-bookmarks
- awesome-pentest - A collection of awesome penetration testing resources.
- Pentest Cheat Sheets - Awesome Pentest Cheat Sheets.
- Pentesting checklists for various engagements
- pentest-wiki
- Micropoor
- 渗透测试工具备忘录
- API 接口渗透测试
- 黑盒渗透测试的一些姿势和个人总结
- web渗透基本流程小结
- Web应用程序安全测试备忘录
- 从目录信息泄露到渗透内网
- Web Service 渗透测试从入门到精通
- 渗透实战中的反取证
- 陪妹子玩游戏引起的风波
- 攻破黑市最流行的钓鱼网站
- 攻破黑市最流行的网站2
- 实战教你怎么拿到女神的手机号,渗透某偷红包app
- 渗透记录1
- 渗透记录2
- Web黑盒渗透思路之猜想
- 老文一次艰难的渗透纪实
- 渗透Hacking Team过程
- 代理不当日进内网
- 浅析反向代理
- iptable介绍
- 渗透测试学习笔记之综合渗透案例一
- 记一次对某企业的渗透测试实战
- Exploit Singapore Hotels: ezxcess.antlabs.com
- ssrf内网漫游
- 渗透记录1
- 渗透记录2
- https的app如何抓包
- 如何使用Xposed+JustTrustMe来突破SSL Pinning
- BurpSuite多重代理
- Frida.Android.Practice (ssl unpinning)
- IIS7以上突破无脚本执行权限限制
- ACCESS无select SQL注射
- SQL注入奇巧淫技——利用DNSLOG获取看不到的信息
- 修改过狗菜刀
- Java版的中国菜刀修改
- 修改c刀
- 菜刀HTTP流量中转代理过WAF
- sql二次注入和截断联合使用
- sql二次注入和截断补充说明
- 盘点那些渗透测试中的奇淫技巧
- [利用Host header attack进行社交工程攻击手法]-文章在90论坛
- phpMyAdmin新姿势getshell -感觉默认没开,需用ROOT权限开启
- phpmyadmin4.8.1后台getshell
- CVE-2018-12613 PhpMyadmin后台文件包含分析
- 一个关于二次越权的漏洞分享
- 利用redis写webshell
- 异地账号密码登陆qq邮箱(好像没检测是否异地
- pentest-tips
- 维持访问 WebShell
- linux远程执行win命令SMB-winexe
- 换个思路,对某培训机构进行一次 YD 的社工检测
- 渗透技巧--浅析web暴力猜解
- 奇技淫巧 | 上传web.config文件获取远程代码执行权限
- 无效HTTP请求绕过Lighttpd重写规则
- 相对持久的绕过方法和一点想法_已被杀
- 渗透技巧之SSH篇
- 无需sendmail:巧用LD_PRELOAD突破disable_functions
- RFI 绕过 URL 包含限制 getshell
- 一次攻击内网rmi服务的深思
- AD-Attack-Defense
- l3m0n:从零开始内网渗透学习
- uknowsec / Active-Directory-Pentest-Notes
- 内网渗透知识大总结
- DarthSidious-Chinese
- Intranet_Penetration_Tips
- tom0li:内网备忘录
- 内网安全检查/渗透总结
- Active Directory中获取域管理员权限的攻击方法
- Jboss引起的内网渗透
- JBoss引起的内网渗透-2
- JBoss引起的内网渗透-3
- Linux内网渗透
- Weblogic引发的血案
- Weblogic引发的血案-2
- Weblogic引发的血案-3
- 一次幸运的内网渗透
- 对国外某内网渗透的一次小结
- 针对国内一大厂的后渗透 – 持续
- 一次内网渗透--域渗透
- 内网渗透思路探索 之新思路的探索与验证
- 初级域渗透系列 - 01. 基本介绍&信息获取
- 初级域渗透系列 - 02. 常见攻击方法 - 1
- 初级域渗透系列 03. 常见攻击方法
- 渗透测试学习笔记之综合渗透案例一
- 一个人的武林:内网渗透测试思路(二)
- 彻底理解Windows认证
- 内网渗透知识基础及流程
- 记一次横向渗透
- kerberos
- 深入 Exchange Server 在网络渗透下的利用方法
- Exchange在渗透测试中的利用
- Microsoft Exchange漏洞记录(撸向域控) - CVE-2018-8581
- 利用 Exchange SSRF 漏洞和 NTLM 中继沦陷域控
- Microsoft Exchange漏洞分析
- Microsoft Exchange 任意用户伪造漏洞(CVE-2018-8581)分析
- PrivExchange - tools
- Windows下的密码hash——NTLM hash和Net-NTLM hash介绍
- 域渗透之hash与票据
- Kerberos的黄金票据详解
- 花式窃取NetNTLM哈希的方法
- 域hash值的导出技巧大全
- 敞开的地狱之门:Kerberos协议的滥用
- NTLM-Relay
- Practical guide to NTLM Relaying in 2017
- The worst of both worlds: Combining NTLM Relaying and Kerberos delegation
- 红队与理论:Credential Relay 与 EPA
- 高级域渗透技术之传递哈希已死-LocalAccountTokenFilterPolicy万岁
- 代理转发工具汇总分析
- 渗透测试技巧之内网穿透方式与思路总结
- 通过双重跳板漫游隔离内网
- 一款突破内网防火墙神器ngrok
- 内网漫游之SOCKS代理大结局
- ew
- 代理工具 端口复用、游走内网
- win IIS端口复用
- iptables端口复用
- Cobalt_Strike_wiki
- 内网剑客三结义
- 渗透利器Cobalt Strike - 第1篇 功能及使用
- Cobalt strike3.0使用手册
- Cobalt Strike上手学习
- 渗透利器Cobalt Strike - 第2篇 APT级的全面免杀与企业纵深防御体系的对抗
- Metasploit域渗透测试全程实录(终结篇)
- metasploit在后渗透中的作用
- Metasploit驰骋内网直取域管首级
- Metasploit 「永恒之蓝」两种模块的利弊
- 一篇文章精通PowerShell Empire 2.3(上)
- 一篇文章精通PowerShell Empire 2.3(下)
- Powershell攻击指南黑客后渗透之道系列——基础篇
- Powershell攻击指南黑客后渗透之道系列——进阶利用
- Powershell攻击指南黑客后渗透之道系列——实战篇
- nishang-ps
- Empire实战域渗透
- Windows环境下的信息收集
- Windows渗透常用命令
- 渗透的本质是信息搜集(第一季)
- 后渗透攻防的信息收集
- 域渗透基础简单信息收集 基础篇
- Linux 机器的渗透测试命令备忘表
- 黑客游走于企业windows内网的几种姿势
- 内网渗透测试定位技术总结
- 内网渗透——网络环境的判断
- PowerView
- WMI在渗透测试中的重要性
- BloodHound
- 红队后渗透测试中的文件传输技巧
- 渗透经验 | Windows下载远程Payload并执行代码的各种技巧
- 渗透技巧——Windows系统远程桌面的多用户登录
- 渗透技巧之隐藏自己的工具
- 白名单下载恶意代码的一个技巧
- 白名单下载恶意代码
- 一条命令实现无文件兼容性强的反弹后门,收集自强大的前乌云
- 渗透技巧——从github下载文件的多种方法
- 渗透技巧——从Admin权限切换到System权限
- 渗透技巧——程序的降权启动
- 强制通过VPN上网,VPN断线就断网
- ip代理工具shadowProxy-代理池
- 渗透技巧——Windows系统的帐户隐藏
- 渗透技巧——”隐藏”注册表的更多测试
- 渗透技巧——Windows日志的删除与绕过
- 渗透技巧——Token窃取与利用
- 域渗透——Pass The Hash的实现
- 域渗透——获得域控服务器的NTDS.dit文件
- 渗透技巧——获得Windows系统的远程桌面连接历史记录
- 渗透技巧 | Windows上传并执行恶意代码的N种姿势
- 域渗透——利用SYSVOL还原组策略中保存的密码
- Windows 日志攻防之攻击篇
- 针对 win 的入侵日志简单处理
- 从活动目录中获取域管理员权限的6种方法
- 当服务器只开web服务并且防火墙不准服务器对外主动发起链接时
- 3gstudent/Pentest-and-Development-Tips
- 渗透测试中常见的小TIPS总结和整理
- 内网渗透思路整理与工具使用
- windows内网渗透杂谈
- 60字节 - 无文件渗透测试实验
- 关于windows的RDP连接记录
- Rcoil内网渗透
- 3389user无法添加
- 丢掉PSEXEC使用wmi来横向渗透
- ms14-068域提权系列总结
- 域渗透之Exchange Server
- 域渗透——Skeleton Key
- 动手打造Bypass UAC自动化测试小工具,可绕过最新版Win10
- Metasploit – Sessions Command 使用技巧
- 渗透技巧——利用图标文件获取连接文件服务器的NTLMv2 Hash
- 在 Windows 环境中使用 Responder 窃取 NTLMv2 哈希并利用
- DoubleAgent -后渗透对杀软进行注入
- Extracting NTLM Hashes from keytab files
- 离线导出Chrome浏览器中保存的密码
- 渗透技巧——利用Masterkey离线导出Chrome浏览器中保存的密码
- 域渗透——Kerberoasting
- BloodHound官方使用指南
- 老牌工具 PsExec 一个琐碎的细节
- 域渗透之使用CrackMapExec拿到我们想要的东西
- Kerberos协议探索系列之委派篇
- win提权辅助tool
- 详解Linux权限提升的攻击与防护
- windows-kernel-exploits Windows平台提权漏洞集合
- linux-kernel-exploits Linux平台提权漏洞集合
- Red-Team-Infrastructure-Wiki
- 论高级威胁的本质和攻击力量化研究
- Whats APT:浅谈APT攻击
- 高级持续渗透-第一季关于后门
- 高级持续渗透-第二季关于后门
- 高级持续渗透-第三季关于后门
- 高级持续渗透-第四季关于后门
- 高级持续渗透-第五季关于后门
- 一次红队之旅
- Web应用安全测试前期情报收集方法与工具的介绍
- Top Five Ways the Red Team breached the External Perimeter
- https://huntingday.github.io
- 渗透测试实战第三版
- RemTeam攻击技巧和安全防御
- SMTP用户枚举原理简介及相关工具 - 用于获取用户字典
- 一封伪造邮件引发的“探索”(涉及钓鱼邮件、SPF和DKIM等)
- SPF 记录:原理、语法及配置方法简介
- 邮件伪造技术与检测
- 伪造电子邮件以及制造电子邮件炸弹的攻防探讨
- 绕过DKIM验证,伪造钓鱼邮件
- Best Practices on Email Protection: SPF, DKIM and DMARC
- Cobalt Strike Spear Phish
- XXE (XML External Entity Injection) 漏洞实践
- 如何挖掘Uber网站的XXE注入漏洞
- XXE被提起时我们会想到什么
- XXE漏洞的简单理解和测试
- xxe漏洞检测及代码执行过程
- 浅谈XXE漏洞攻击与防御
- XXE漏洞分析
- XML实体注入漏洞攻与防
- XML实体注入漏洞的利用与学习
- XXE注入:攻击与防御 - XXE Injection: Attack and Prevent
- 黑夜的猎杀-盲打XXE
- Hunting in the Dark - Blind XXE
- XMLExternal Entity漏洞培训模块
- XXE漏洞攻防之我见
- XXE漏洞利用的一些技巧
- 神奇的Content-Type——在JSON中玩转XXE攻击
- XXE-DTD Cheat Sheet
- 通过编码绕过一些cms对于xxe的检测
- 利用EXCEL进行XXE攻击
- 利用 EXCEL 文件进行 XXE 攻击的漏洞分析
- EXCEL依赖库
- 上传DOC文件XXE
- 一篇文章带你深入理解漏洞之 XXE 漏洞
- AwesomeXSS
- 浅谈XSS—字符编码和浏览器解析原理
- 深入理解XSS编码--浏览器解析原理
- XSS常见利用代码及原理
- 前端防御从入门到弃坑--CSP变迁
- XSS测试备忘录
- 浅谈跨站脚本攻击与防御
- XSS常见利用代码及原理
- 跨站的艺术:XSS Fuzzing 的技巧
- 从瑞士军刀到变形金刚--XSS攻击面扩展
- 渗透测试技巧之一个XSS引发的漏洞利用与思考
- xss_bypass_Uppercase
- XSSpayload交流以及研究
- 记一次挖掘存储型XSS漏洞过程
- 一次XSS突破的探险
- 香香的xss小记录(一)
- Black-Hole专辑 -细读
- 内网xss蠕虫
- 攻破黑市之拿下吃鸡DNF等游戏钓鱼站群
- 前端安全系列(一):如何防止XSS攻击?
- 上传Word文件形成存储型XSS路径
- XSS without parentheses and semi-colons
- 工具| sqlmap payload修改之路
- 工具| sqlmap payload修改之路(下)
- sqlmap源码分析
- sqlmap源码分析一
- sqlmap源码分析二
- sqlmap源码分析三
- sqlmap源码分析四
- 诸神之眼nmap定制化之初识NSE
- 诸神之眼nmap定制化之NSE进阶
- Burpsuite你可能不知道的技巧
- awesome-burp-extensions
- 对AWVS一次简单分析
- 论如何反击用AWVS的黑客
- 擦除AWVS一些标志
- nmap
- nmap谈谈端口探测的经验与原理
- 从MySQL出发的反击之路
- SpecterOps/BloodHound-Legacy#267 -xss
- 关于一些SSRF的技巧
- 关于SSRF漏洞挖掘思路
- SSRF in Java
- Dns Auto Rebinding
- 通过DNS rebinding绕过同源策略攻击Transmission分析
- Use DNS Rebinding to Bypass SSRF in Java
- SSRF漏洞的挖掘经验
- 了解SSRF
- SSRF&redis
- gopher-attack-surfaces
- MySql注入备忘录
- 浅析白盒审计中的字符编码及SQL注入
- 宽字节注入深度讲解
- 基于mysql下的几种写shell方法
- MSSQL 注入攻击与防御
- MSSQL DBA权限获取WEBSHELL的过程
- SQLite手工注入Getshell技巧
- DNS域传送漏洞学习总结
- 利用Python实现DGA域名检测
- DNS-Persist: 利用 DNS 协议进行远程控制通信
- 本地DNS攻击原理与实例
- error dns response
- DNS隧道检测平民解决方案
- DNS泛解析是怎么被黑客玩坏的
- DNS Tunneling及相关实现
- DNS 域传送tools
- Dnslog在SQL注入中的实战
- 我如何使用Cloud Fuzzing挖到了一个Tcpdump漏洞
- Fuzzing Android:挖掘Android系统组件组件中的漏洞
- Fuzz自动化Bypass软WAF姿势
- 我的Web应用安全模糊测试之路
- Wfuzz初上手
- Wfuzz基本功
- Wfuzz高阶功法
- Wfuzz高阶功法
- 命令注入之Web应用防火墙绕过技巧
- 个人总结的waf绕过注入思路(附带6种常见waf的绕过方法)
- SQL注入 | 9种绕过Web应用程序防火墙的方式-基础
- WAF攻防之SQL注入篇
- 老司机带你过常规WAF
- SQL注入ByPass的一些小技巧
- 在HTTP协议层面绕过WAF
- 利用分块传输吊打所有WAF
- WAF绕过的捷径与方法
- 对过WAF的一些认知
- Bypass 360主机卫士SQL注入防御(多姿势)
- Bypass D盾_IIS防火墙SQL注入防御(多姿势)
- 不包含数字字母的WebShell
- php一句话木马检测绕过研究
- 利用php特性过D盾,一句话和大马都可使用
- 构造免杀的asp一句话木马
- JAVA反序列化安全实例解析
- Java反序列化漏洞分析
- JAVA代码审计的一些Tips(附脚本)
- Java序列化和反序列化
- java反序列化漏洞-金蛇剑之hibernate(上)
- Java反序列化漏洞-金蛇剑之hibernate(下)
- Java反序列化漏洞-玄铁重剑之CommonsCollection(上)
- Java反序列化漏洞-玄铁重剑之CommonsCollection(下)
- Java反序列化漏洞从入门到深入
- Java反序列化备忘录
- Java反序列化漏洞之殇
- 敏信Java代码审计-层层推进
- Java反序列化漏洞学习实践一:从Serializbale接口开始,先弹个计算器
- Java反序列化漏洞学习实践二:Java的反射机制(Java Reflection)
- Java反序列化漏洞学习实践三:理解Java的动态代理机制
- Java漏洞代码
- apache-shiro-java反序列化漏洞分析
- [全频带阻塞干扰] -坚持以非正常体位探寻未知信号。关注无线安全、通信监听、商业反窃密、平行空间、非主流隐私保护、海外情报、犯罪防御、群氓效应、漂亮妹纸和科幻大刘。
- 安全学术圈2018年度总结 - 微信号安全学术圈
- 10大深网搜索引擎
- 在百度网盘上看到上万条车主个人信息,企业、政府高官信息、各种数据
- 一道 CTF 题 get 到的新姿势
- iPhone锁屏却锁不住个人信息,iOS安全性真的很高吗?
- 弦哥从新加坡HITB黑客大会进口过来的黑魔法命令
- 编程的重要性之 sqlmap 源码
- 资讯400多个流行站点记录用户键击 或导致个人敏感信息泄露
- https劫持理解
- 银行卡quickpass闪付芯片通过EVM/PBOC读取隐私信息
- txt文本文件去重及导入数据库处理
- 解析U盘病毒传播之文件欺骗
- 深度剖析:手机指纹的马奇诺防线
- 网撸黑话+技巧大全 | 岂安低调分享
- 国外14亿数据
- Word文件加密之后
- 腾讯2017年度网络黑产威胁源研究报告
- 洗钱工具“手机充值卡”卡号卡密灰色行业套现洗白链
- kali安装后
- 请求方法问题
- Python工具分析风险数据
- 技术讨论 | 构建一个小巧的来电显示迷惑工具
- google.com/machine-learning/crash-course/
- 远程定位追踪联网车辆以及利用思路分析
- 智能锁具攻防系列一初探
- 我的世界观
- ivideo
- baidu云盘
- 偷U盘文件的神器
- Hard_winGuide.md
- Enterprise-Registration-Data-of-Chinese-Mainland
We welcome everyone to contribute,you can open an issue for this if you have some new idea about this project or you have found some quality safety articles,and then I will add your name to Acknowledgments.