原文地址:http://drops.wooyun.org/tips/7883 PS.之前一直想把零零碎碎的知识整理下来，作为知识沉淀下来，正好借着wooyun峰会的机会将之前的流程又梳理了一遍，于是就有了下文。也希望整理的内容能给甲方工作者或则白帽子带来一些收获。 0x00 概述 随着网络安全越来越受到重视…继续阅读 »

原文地址:http://drops.wooyun.org/tips/10667 0x00 前言 应用白名单（Application Whitelisting）是用来防止未认证程序运行的一个计算机管理实践。它的目的是保护计算机和网络不受应用伤害。 McAfee Application Control作为其中比较有代表性的产品，使用动态的信任模型，避免了单调的人工更新…继续阅读 »

原文地址:http://drops.wooyun.org/tips/11305 0x00 前言 上篇我们成功在McAfee Application Control保护的系统上实现了代码执行，而McAfee Application Control的其他保护功能同样很强大，其中对文件读写操作的拦截很有特色，这一次我们接着试试能不能绕过：D （更多…）

原文地址:http://drops.wooyun.org/tips/159 0x00 背景 从IE8 beta2 开始，微软加入了xss Filter。如同大部分安全产品一样，防护的对策就是利用规则去过滤攻击代码，基于可用和效率的考虑，同时加入黑白名单策略（即同源策略）。 经过几代的更新和大量hack爱好者的测试（微软喜欢招…继续阅读 »

原文地址:http://drops.wooyun.org/tools/16261 此文接着 《BurpSuite插件开发指南之 Java 篇》 。在此篇中将会介绍如何使用 Python编程语言 开发 BurpSuite 的插件。 《BurpSuite 插件开发指南》系列文章如下： 《BurpSuite插件开发指南之 API 篇》 《BurpSuite插件开发指南之 Java 篇》 《BurpSuite插…继续阅读 »

原文地址:http://drops.wooyun.org/tools/16056 此文接着 《BurpSuite插件开发指南之 API 下篇》 。在此篇中将会介绍如何使用Java 开发 BurpSuite 的插件，重点会介绍利用 Java 的 Swing 包开发带有 GUI 的 Burp 插件。 《BurpSuite 插件开发指南》系列文章如下： 《BurpSuite插件开发指南之 API 篇》 …继续阅读 »

原文地址:http://drops.wooyun.org/tools/14685 0x00 前言 此文是接着 《BurpSuite插件开发指南之 API 上篇》 所写，此篇中将要介绍的 API 和上篇有着紧密的联系，所以建议读者可以将上下篇作为一个整体去看待。 《BurpSuite 插件开发指南》系列文章如下： 《BurpSuite插件开发指南之 API…继续阅读 »

原文地址:http://drops.wooyun.org/tools/14040 0x00 前言 BurpSuite 作为一款 Web 安全测试的利器，得益于其强大的代理，操控数据的功能，在 Web 安全测试过程中，为我们省下了不少时间和精力专注于漏洞的挖掘和测试。更重要的是 BurpSuite 提供了插件开发接口，Web 安全测试人员可以根据…继续阅读 »

原文地址:http://drops.wooyun.org/tools/5751 0x00 简介 Burpsuite作为web测试的神器，已经人手必备了。它提供的一系列互相配合的工具，极大的提高了手工测试的效率，从1.5版本开始，Burpsuite开始支持扩展。用户可以自己开发扩展实现一些特殊的需求。不过目前关于Burpsuite扩展开发的中…继续阅读 »

原文地址:http://drops.wooyun.org/tools/14980 0x00 前言 Burp不仅仅能在Web应用的测试中使用。我也在移动端和传统客户端测试时经常使用。对于采用HTTP方法发送数据的应用，Burp是你的最佳选择。 我要写下一系列在我工作中给我帮助的那些Burp的提示和技巧。写出来为了与大家分享，…继续阅读 »