最近老是听朋友说，被上级单位通报HTTP不安全方法漏洞，本来是低危漏洞，也没怎么注意它，最近升为中危漏洞，每天催着去整改，闹得人心惶惶，甚至经常被维护人员吐槽，做的是得不偿失的事情。因此，有必要说明一下，为什么要禁止除GET和POST之外的HTTP方法。换句话说，对于这些HTTP不安全方法，到底有多不安全呢？一、HTTP请求方法有哪些根据HTTP标准，HTTP请求可以使用多种方法，其功能描述如下所

简介无人机曾一度成为黑客讨论的焦点。讨论的主要是如何解除无人机的一些限制，将无人机的控制信道设置为更高的频率，移除飞行高度的限制等。很多资料都备份在github上，地址：https://github.com/MAVProxyUser/P0VsRedHerring 。DJI Spark是2017年发布的一款无人机，而且技术相对成熟。但与Phantom 4和Mavic等机型相比，Spark的

导语：之前我阅读过一篇关于AdBlock的文章，这篇文章对我的启发很大。由此，我发现了一种基于利用此活动在.txt中进行域比较的独特哈希用法的广告检测方法。之前我阅读过一篇关于AdBlock的文章，这篇文章对我的启发很大。由此，我发现了一种基于利用此活动在.txt中进行域比较的独特哈希用法的广告检测方法。具体来说，就是在我最初通过Chrome扩展站点crx.dam.io/手动识别的28个不同插件中

您是否有志于推动Web安全技术的发展，并与信息安全社区分享相关知识呢？在这篇文章中，我将为读者分享与Web安全研究有关的各种建议，当然，这些建议一方面是来自某些成功经验，而另一些则是来自于曾经踩过的坑，希望对大家有所帮助。以“黑”为生大部分研究都是在现有的技术的基础之上，百尺竿头更进一步的，所以，研究工作的第一步就是熟悉当前的技术水平。为了实现这一目标，最快的方法是找一份相关的工作，这样就可以有大

背景在这个周末我安装了Windows 10 Spring Update，最令我期待的就是它的内置OpenSSH工具，这意味着Windows管理员不再需要使用Putty和PPK格式的密钥了。随后，我花了些时间来探索并了解该版本所支持的特性。最终没有令我失望，我惊喜地看到ssh-agent.exe也被包含在内。在MSDN的一篇关于使用新Windows ssh-agent文章的以下部分，引起了我的注意：

0×1 概述近期，千里目安全实验室监测到了一大批网站系统被恶意植入了网页挖矿木马，只要访问者通过浏览器浏览被恶意植入了网页挖矿木马站点，浏览器会即刻执行挖矿指令，从而沦为僵尸矿机，无偿的为网页挖矿木马植入者提供算力，间接为其生产虚拟货币，这是一种资源盗用攻击。由于网页挖矿木马存在很广的传播面和很不错的经济效益，因此、广受黑产团体的追捧，让我们对它防不胜防！0×2 千里百科区块：在区块链网络上承载交

本文为大家介绍手工SQL注入的技巧，以及利用的方法。根据bugbountyforum.com的AMA版面，最常见的问题之一就是：如何测试服务器端漏洞，例如SQL注入？直到最近我还在努力解决这个问题（特别是关于SQL注入）。我发现，SQL注入经常被发现并被sqlmap利用的，之后我发现这个服务器对单引号的反应很奇怪。然而在过去的两个月，我被迫深入到手工SQL注入发现，因为我的目标有一个很强的防火墙可

世界上有一群人，互联网对于他们来说就是提款机。是的，过去是，现在更是，因为电子货币的出现，他们提款的速度变得更疯狂。在2017年，我们的蜜罐监测到一起针对以太坊的全球大规模攻击事件，我们将其命名为以太坊“偷渡”漏洞。通过该漏洞，黑客可以在没有服务器权限、没有keystore密码权限的情况下，转走钱包中的所有余额。而如此严重的漏洞，1年前就在reddit.com被曝光有黑客在利用，并且最早可追溯到2

第一个是常见的思路，把语句写入inc文件，然后在其他的include语句中，包含了恶意代码进而getshell。漏洞代码在:/dede/sys_verifies.php 代码如下：else if ($action == 'getfiles'){    if(!isset($refiles)) 

这里的连接字符，我研究出来一些payload，能够script,document等危险字符过滤的情况下，不需要在任何编码的情况下，去构造一个payload 当document被过滤的情况下，又不能用编码 +被过滤，又不能编码 <svg/onload="[1].find(function(){with(`\docomen\.1\t\.1`);;body.appendChild(cr