背景 现在大厂的代码都有安全测评，在渗透测试时可能用会使用改变x-forwarded-for的值伪造客服端IP，网上常见的配置nginx解决，但对于有的不使用nginx或使用其他的代理方式，我们就只能从服务端入手。 解决方案 这里可以用到的Tomc…

首先说明一下，现在大多数人都用oracle的javamail的jar来实现发邮件，在这里我不得不承认javamail确实是一款强大的工具，但是，oracle对它进行了底层封装，对于开发者来说是透明的，因此，也许是出于安…

关于Limelighter Limelighter是一款能够帮助我们创建伪造代码签名证书和代码签名的强大工具，除此之外，它还可以帮助我们创建DLL文件以实现EDR产品绕过等等。Limelighter还可以使用有效的代码签名证书来对文件进行签名。当然了，Limelighter也可…

ARP原理和伪造攻击介绍 ARP协议： ARP（英文全写：Address Resolution Protocol），翻译成中文的意思是“地址解析协议”。 在局域网中，网络以“帧”的形式传输数据，一个主机要和另一个主机进行直…

电子邮件欺骗(email spoofing)的根本原因是SMTP协议是不需要身份验证的，攻击者可以利用这个特性伪造电子邮件头，从任意电子邮件地址发送任何人，导致信息看起来来源于某个人或某个地方，而实际却不是真实的源地址。 如果要实现邮箱伪…

公民身份号码是特征组合码，由十七位数字本体码和一位数字校验码组成。排列顺序从左至右依次为：六位数字地址码，八位数字出生日期码，三位数字顺序码和一位数字校验码。 身份证第18位（校验码）的计算方法 1、…

▌CSRF 攻击 CSRF 跨站点请求伪造 (Cross—Site Request Forgery)：大概可以理解为攻击者盗用了你的身份，以你的名义在恶意网站发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比…

Javascript 是一种由Netscape的LiveScript发展而来的原型化继承的基于对象的动态类型的区分大小写的客户端脚本语言，主要目的是为了解决服务器端语言，比如Perl，遗留的速度问题，为客户提供更流畅的浏览效果。 因为服务器端脚本可以…