Correia-jpv/fucking-awesome-web-security

# Web Security 精选 [](https://github.com/sindresorhus/awesome) 🌎 [](www.w3.org/TR/html5/) 毋庸讳言，大多数网站都存在各种类型的错误，这些错误最终可能导致漏洞。为什么会经常发生这种情况？这可能涉及多种因素，包括配置错误、工程师安全技能短缺等。为了应对这一问题，这里整理了一份 Web 安全材料和资源列表，用于学习前沿的渗透技术，我强烈建议你先阅读这篇文章 🌎 [所以你想成为一名网络安全研究员？](portswigger.net/blog/so-you-want-to-be-a-web-security-researcher)"。 ## 目录 - [摘要](#digests) - [论坛](#forums) - [介绍](#intro) - [XSS](#xss---cross-site-scripting) - [原型污染](#prototype-pollution) - [CSV 注入](#csv-injection) - [SQL 注入](#sql-injection) - [命令注入](#command-injection) - [ORM 注入](#orm-injection) - [FTP 注入](#ftp-injection) - [XXE](#xxe---xml-external-entity) - [CSRF](#csrf---cross-site-request-forgery) - [点击劫持](#clickjacking) - [SSRF](#ssrf---server-side-request-forgery) - [Web 缓存投毒](#web-cache-poisoning) - [相对路径覆盖](#relative-path-overwrite) - [开放重定向](#open-redirect) - [SAML](#saml) - [上传](#upload) - [Rails](#rails) - [AngularJS](#angularjs) - [ReactJS](#reactjs) - [SSL/TLS](#ssltls) - [网络邮件](#webmail) - [NFS](#nfs) - [AWS](#aws) - [Azure](#azure) - [指纹识别](#fingerprint) - [子域名枚举](#sub-domain-enumeration) - [加密](#crypto) - [Web Shell](#web-shell) - [OSINT](#osint) - [DNS 重绑定](#dns-rebinding) - [反序列化](#deserialization) - [OAuth](#oauth) - [JWT](#jwt) - [绕过](#evasions) - [XXE](#evasions-xxe) - [CSP](#evasions-csp) - [WAF](#evasions-waf) - [JSMVC](#evasions-jsmvc) - [认证](#evasions-authentication) - [技巧](#tricks) - [CSRF](#tricks-csrf) - [点击劫持](#tricks-clickjacking) - [远程代码执行](#tricks-rce) - [XSS](#tricks-xss) - [SQL 注入](#tricks-sql-injection) - [NoSQL 注入](#tricks-nosql-injection) - [FTP 注入](#tricks-ftp-injection) - [XXE](#tricks-xxe) - [SSRF](#tricks-ssrf) - [Web 缓存投毒](#tricks-web-cache-poisoning) - [Header 注入](#tricks-header-injection) - [URL](#tricks-url) - [反序列化](#tricks-deserialization) - [OAuth](#tricks-oauth) - [其他](#tricks-others) - [浏览器漏洞利用](#browser-exploitation) - [PoCs](#pocs) - [数据库](#pocs-database) - [速查表](#cheetsheets) - [工具](#tools) - [审计](#tools-auditing) - [命令注入](#tools-command-injection) - [侦察](#tools-reconnaissance) - [OSINT](#tools-osint) - [子域名枚举](#tools-sub-domain-enumeration) - [代码生成](#tools-code-generating) - [Fuzzing](#tools-fuzzing) - [扫描](#tools-scanning) - [渗透测试](#tools-penetration-testing) - [泄露](#tools-leaking) - [攻击](#tools-offensive) - [XSS](#tools-xss) - [SQL 注入](#tools-sql-injection) - [模板注入](#tools-template-injection) - [XXE](#tools-xxe) - [CSRF](#tools-csrf) - [SSRF](#tools-ssrf) - [检测](#tools-detecting) - [防御](#tools-preventing) - [代理](#tools-proxy) - [Webshell](#tools-webshell) - [反汇编器](#tools-disassembler) - [反编译器](#tools-decompiler) - [DNS 重绑定](#tools-dns-rebinding) - [其他](#tools-others) - [社会工程学数据库](#social-engineering-database) - [博客](#blogs) - [Twitter 用户](#twitter-users) - [实践](#practices) - [应用](#practices-application) - [AWS](#practices-aws) - [XSS](#practices-xss) - [ModSecurity / OWASP ModSecurity Core Rule Set](#practices-modsecurity) - [社区](#community) - [杂项](#miscellaneous) ## 摘要 - 🌎 [Hacker101](www.hacker101.com/) - 由 🌎 [hackerone](www.hackerone.com/start-hacking) 编写。 - 🌎 [The Daily Swig - Web security digest](portswigger.net/daily-swig) - 由 🌎 [PortSwigger](portswigger.net/) 编写。 - 🌎 [Web Application Security Zone by Netsparker](www.netsparker.com/blog/web-security/) - 由 🌎 [Netsparker](www.netsparker.com/) 编写。 - 🌎 [Infosec Newbie](www.sneakymonkey.net/2017/04/23/infosec-newbie/) - 由 🌎 [Mark Robinson](www.sneakymonkey.net/) 编写。 - 🌎 [The Magic of Learning](bitvijays.github.io/) - 由 🌎 [@bitvijays](bitvijays.github.io/aboutme.html) 编写。 - 🌎 [CTF Field Guide](trailofbits.github.io/ctf/) - 由 🌎 [Trail of Bits](www.trailofbits.com/) 编写。 -      ?⭐      ?🍴 [PayloadsAllTheThings](https://github.com/swisskyrepo/PayloadsAllTheThings/)) - 由 [@swisskyrepo](https://github.com/swisskyrepo) 编写。 - 🌎 [tl;dr sec](tldrsec.com/) - 每周顶级安全工具、博客文章和安全研究摘要。 ## 论坛 - [Phrack Magazine](http://www.phrack.org/) - 由黑客编写并为黑客服务的电子杂志。 - 🌎 [The Hacker News](thehackernews.com/) - 严肃的安全资讯。 - 🌎 [Security Weekly](securityweekly.com/) - 安全播客网络。 - [The Register](http://www.theregister.co.uk/) - 咬喂 IT 的手（IT 新闻尖刻评论）。 - 🌎 [Dark Reading](www.darkreading.com/Default.asp) - 连接信息安全社区。 - [HackDig](http://en.hackdig.com/) - 为黑客挖掘高质量的 Web 安全文章。 ## 介绍 ### XSS - 跨站脚本攻击 - 🌎 [Cross-Site Scripting – Application Security – Google](www.google.com/intl/sw/about/appsecurity/learning/xss/) - 由 🌎 [Google](www.google.com/) 编写。 -   2992⭐    418🍴 [H5SC](https://github.com/cure53/H5SC)) - 由 [@cure53](https://github.com/cure53) 编写。 -   5066⭐    777🍴 [AwesomeXSS](https://github.com/s0md3v/AwesomeXSS)) - 由 [@s0md3v](https://github.com/s0md3v) 编写。 -     57⭐    136🍴 [XSS.png](https://github.com/LucaBongiorni/XSS.png)) - 由 @jackmasa 编写。 - 🌎 [C.XSS Guide](excess-xss.com/) - 由 [@JakobKallin](https://github.com/JakobKallin) 和 🌎 [Irene Lobo Valbuena](www.linkedin.com/in/irenelobovalbuena/) 编写。 - [THE BIG BAD WOLF - XSS AND MAINTAINING ACCESS](http://www.paulosyibelo.com/2018/06/the-big-bad-wolf-xss-and-maintaining.html) - 由 [Paulos Yibelo](http://www.paulosyibelo.com/) 编写。 -      ?⭐      ?🍴 [payloadbox/xss-payload-list](https://github.com/payloadbox/xss-payload-list)) - 由 [@payloadbox](https://github.com/payloadbox) 编写。 -  75692⭐  16706🍴 [PayloadsAllTheThings - XSS Injection](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSS%20Injection)) - 由 [@swisskyrepo](https://github.com/swisskyrepo) 编写。 ### 原型污染 -    535⭐     88🍴 [Prototype pollution attack in NodeJS application](https://github.com/HoLyVieR/prototype-pollution-nsec18/blob/master/paper/JavaScript_prototype_pollution_attack_in_NodeJS.pdf)) - 由 [@HoLyVieR](https://github.com/HoLyVieR) 编写。 - 🌎 [Exploiting prototype pollution – RCE in Kibana (CVE-2019-7609)](research.securitum.com/prototype-pollution-rce-kibana-cve-2019-7609/) - 由 🌎 [@securitymb](twitter.com/securitymb) 编写。 - 🌎 [Real-world JS - 1](blog.p6.is/Real-World-JS-1/) - 由 🌎 [@po6ix](twitter.com/po6ix) 编写。 ### CSV 注入 - 🌎 [CSV Injection -> Meterpreter on Pornhub]( 13126⭐   1759🍴 [qazbnm456/awesome-web-security](https://github.com/qazbnm456/awesome-web-security))

标签：AWS安全, Azure安全, Bug Bounty, C2日志可视化, CISA项目, Clickjacking点击劫持, CSRF跨站请求伪造, DNS 反向解析, HTML5安全, HTTP工具, IP 地址批量处理, JWT安全, meg, Modbus, OAuth安全, OSINT开源情报, RuleLab, SSL/TLS, SSRF服务端请求伪造, Webshell, Web安全, Web缓存投毒, Web缓存欺骗, Windows内核, XML外部实体注入, 信息安全, 原型污染, 反序列化漏洞, 可自定义解析器, 命令注入, 子域名挖掘, 实时处理, 密码管理, 开放重定向, 指纹识别, 插件系统, 攻击向量, 数据展示, 数据泄露, 白帽子, 红队, 绕过技术, 编程工具, 网络安全, 网络安全审计, 蓝队分析, 远程代码执行, 防御加固, 隐私保护