本文详细记录了Django重置密码漏洞(CVE-2019-19844)的复现过程,简要分析了漏洞原理,讨论了攻击所需的条件。首发于安全客。
在学习PWK课程时我萌生了写一个能自动检测网站是否存在robots.txt的浏览器扩展的念头。完成PWK课程学习并顺利拿到OSCP认证后我花了些时间实现了这个想法。这篇文章介绍了这款浏览器扩展的安装、使用、配置和一些技术细节。
在Django中GenericIPAddressField可以存储一个IPv4或IPv6地址,但没有专门用来存储网段的字段。用字符串存储网段会丢失语义,如无法按包含的IP地址过滤网段。为解决此问题,我设计实现了一个支持所有数据库的专用于存储网段的字段IPNetworkField。这篇文章将介绍IPNetworkField的使用方法和实现原理。
首发于安全客。本文较为详细地叙述了作者在刻意练习理论的指导下,从开始打算考取OSCP认证到最后成功考取OSCP认证的整个过程,包括心理活动和实际行动。
Overflow是来自VulnHub的难度简单、主要考察缓冲区溢出的boot2root渗透测试靶机。本文较为完整地记录了我对其进行渗透测试的全过程。涉及的知识点有栈溢出漏洞的确定,利用jmp esp执行shellcode,地址随机化防护和不可执行防护的绕过。注:首发于“安全客”。