红米NOTE 5 MIUI 10 官方开发版下载后解锁失败后，整了将近一天才整好，下面我将遇到的问题和所有涉及到的下载链接和安装步骤记录下来，供大家参考：挫折篇：1. 小米官网下载点击刷机：2. 点击后：这边我说明一下即使按照步骤正常下载后也会发现Root不成功：下面是我的具体的探索????1. BL解锁处理步骤a. 本地下载解锁工...

2. POC脚本修改POC的脚本通常是通用脚本，很多时候是不满足具体的环境要求的，所以打开这个python脚本，可以看到跟我们的目前的环境路径不一致，多了一个/CuteNews/这个文件路径，将代码包含有这个路径的代码都去掉。然后再整体check一下。这边POC里面的payload我是没有做任何修改的，里面的payload你们也可以根据自己的需求和喜欢来进行修改。...

1 前言：在上一篇我们已经演示了整个方案，传送门《开源网站云查杀方案，搭建自己的云杀毒》：https://www.cnblogs.com/dengjiahai/p/12437360.html#4514940。接着我就写一个文章来演示如何搭建ClamAV服务器，开始之前，我先说说关于陆陆续续收到一些同行的交流对话和疑问的这个问题，发表一些我个人的见解和看法：在服务器安装杀软它不香嘛？为甚搞那么复杂？

TLS/SSL协议目前有很多TLS1.3、TLS1.2、TLS1.1、TLS1.0、SSLv3.0 、SSLv2.0，后面三个算是比较弱的密码协议。还有密码套件：DES/MD5这些弱密码协议。修改了上面的TLS协议和密码套件后，TLS信任证书生成应用于域名。TLS协议修改：1. 打开注册表：2.备份注册表-协议导出路径：计算机\HKEY_LOCAL_MACHINE\SY...

Fortify扫描漏洞解决方案：Log Forging漏洞：1.数据从一个不可信赖的数据源进入应用程序。在这种情况下，数据经由getParameter()到后台。2. 数据写入到应用程序或系统日志文件中。这种情况下，数据通过info()记录下来。为了便于以后的审阅、统计数据收集或调试，应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性，审阅日志文件可在必要...

CSRF理解：CSRF概念：CSRF跨站点请求伪造(Cross—Site Request Forgery)，跟XSS攻击一样，存在巨大的危害性，你可以这样来理解：攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。如下：其中We...

vsftpd 启动异常root@kali:~# service vsftpd startroot@kali:~# service vsftpd status● vsftpd.service - vsftpd FTP serverLoaded: loaded (/lib/systemd/system/vsftpd.service; disabled; vendor preset: ...

1. Kali升级apt-get updateapt-get dist-upgrade2. 升级完成后，启动GVM（OpenVas）发现打不开：oot@Fkali:~# gvm-start[*] Please wait for the GVM / OpenVAS services to start.[*][*] You might need to refresh your browser once

先说说个人的情况。首先，我并不能算作严格意义上安全科班出身，属于半路出家做安全。一直以来都是从事甲方安全防护，偏重基于业务侧的应用安全、数据保护、隐私合规。渗透测试于我几乎是盲区一样的存在，仅对web、android的安全测试有些许了解，比如漏洞原理、防护、测试等，利用层面都很少接触。​ 起初是从之前的同事那里了解到CEH，一个偏重攻击实操的认证，但是考试需要去香港，觉得比较麻烦就放弃了。之后一段

靶机地址：BBS (cute): 1.0.2 ~ VulnHub靶机环境搭建：个人本地环境：VMWare已经安装好了，因为虚拟机镜像是virtualBox的.vbox结尾，所以在本地又安装了VitualBoxVMWare和VitualBox的NAT网络不能同时使用， 整了半天也没搞起来，后来才知道这两种虚拟程序不能同时使用NAT。所以使用了另外一台Kali的机器，直接用主机来测了。靶机本地用Vir