qazbnm456/awesome-web-security

# Web Security 精选 [](https://github.com/sindresorhus/awesome) [](https://www.w3.org/TR/html5/) 毋庸置疑，大多数网站都存在各种类型的漏洞，这些漏洞最终可能导致安全问题。为什么这种情况会如此频繁地发生？其中可能涉及许多因素，包括配置错误、工程师安全技能不足等。为了应对这一问题，这里整理了一份 Web 安全资料和资源列表，用于学习最前沿的渗透技术，我强烈建议你先阅读这篇文章“[所以你想成为一名 Web 安全研究员？](https://portswigger.net/blog/so-you-want-to-be-a-web-security-researcher)”。 *请在贡献之前阅读[贡献指南](CONTRIBUTING.md)。*

🌈 想要加强你的渗透技能？
我建议去玩一些 awesome-ctf。

## 目录 - [摘要](#digests) - [论坛](#forums) - [简介](#intro) - [XSS](#xss---cross-site-scripting) - [原型污染](#prototype-pollution) - [CSV 注入](#csv-injection) - [SQL 注入](#sql-injection) - [命令注入](#command-injection) - [ORM 注入](#orm-injection) - [FTP 注入](#ftp-injection) - [XXE](#xxe---xml-external-entity) - [CSRF](#csrf---cross-site-request-forgery) - [点击劫持](#clickjacking) - [SSRF](#ssrf---server-side-request-forgery) - [Web 缓存投毒](#web-cache-poisoning) - [相对路径覆盖](#relative-path-overwrite) - [开放重定向](#open-redirect) - [SAML](#saml) - [文件上传](#upload) - [Rails](#rails) - [AngularJS](#angularjs) - [ReactJS](#reactjs) - [SSL/TLS](#ssltls) - [Webmail](#webmail) - [NFS](#nfs) - [AWS](#aws) - [Azure](#azure) - [指纹识别](#fingerprint) - [子域名枚举](#sub-domain-enumeration) - [密码学](#crypto) - [Web Shell](#web-shell) - [OSINT](#osint) - [DNS 重绑定](#dns-rebinding) - [反序列化](#deserialization) - [OAuth](#oauth) - [JWT](#jwt) - [绕过技术](#evasions) - [XXE](#evasions-xxe) - [CSP](#evasions-csp) - [WAF](#evasions-waf) - [JSMVC](#evasions-jsmvc) - [认证](#evasions-authentication) - [技巧](#tricks) - [CSRF](#tricks-csrf) - [点击劫持](#tricks-clickjacking) - [远程代码执行](#tricks-rce) - [XSS](#tricks-xss) - [SQL 注入](#tricks-sql-injection) - [NoSQL 注入](#tricks-nosql-injection) - [FTP 注入](#tricks-ftp-injection) - [XXE](#tricks-xxe) - [SSRF](#tricks-ssrf) - [Web 缓存投毒](#tricks-web-cache-poisoning) - [请求头注入](#tricks-header-injection) - [URL](#tricks-url) - [反序列化](#tricks-deserialization) - [OAuth](#tricks-oauth) - [其他](#tricks-others) - [浏览器漏洞利用](#browser-exploitation) - [PoCs](#pocs) - [数据库](#pocs-database) - [速查表](#cheetsheets) - [工具](#tools) - [审计](#tools-auditing) - [命令注入](#tools-command-injection) - [信息收集](#tools-reconnaissance) - [OSINT](#tools-osint) - [子域名枚举](#tools-sub-domain-enumeration) - [代码生成](#tools-code-generating) - [模糊测试](#tools-fuzzing) - [扫描](#tools-scanning) - [渗透测试](#tools-penetration-testing) - [信息泄露](#tools-leaking) - [攻击性](#tools-offensive) - [XSS](#tools-xss) - [SQL 注入](#tools-sql-injection) - [模板注入](#tools-template-injection) - [XXE](#tools-xxe) - [CSRF](#tools-csrf) - [SSRF](#tools-ssrf) - [检测](#tools-detecting) - [防御](#tools-preventing) - [代理](#tools-proxy) - [Webshell](#tools-webshell) - [反汇编器](#tools-disassembler) - [反编译器](#tools-decompiler) - [DNS 重绑定](#tools-dns-rebinding) - [其他](#tools-others) - [社会工程学数据库](#social-engineering-database) - [博客](#blogs) - [Twitter 用户](#twitter-users) - [实践](#practices) - [应用](#practices-application) - [AWS](#practices-aws) - [XSS](#practices-xss) - [ModSecurity / OWASP ModSecurity Core Rule Set](#practices-modsecurity) - [社区](#community) - [杂项](#miscellaneous) ## 摘要 - [Hacker101](https://www.hacker101.com/) - 由 [hackerone](https://www.hackerone.com/start-hacking) 编写。 - [The Daily Swig - Web security digest](https://portswigger.net/daily-swig) - 由 [PortSwigger](https://portswigger.net/) 编写。 - [Web Application Security Zone by Netsparker](https://www.netsparker.com/blog/web-security/) - 由 [Netsparker](https://www.netsparker.com/) 编写。 - [Infosec Newbie](https://www.sneakymonkey.net/2017/04/23/infosec-newbie/) - 由 [Mark Robinson](https://www.sneakymonkey.net/) 编写。 - [The Magic of Learning](https://bitvijays.github.io/) - 由 [@bitvijays](https://bitvijays.github.io/aboutme.html) 编写。 - [CTF Field Guide](https://trailofbits.github.io/ctf/) - 由 [Trail of Bits](https://www.trailofbits.com/) 编写。 - [PayloadsAllTheThings](https://github.com/swisskyrepo/PayloadsAllTheThings/) - 由 [@swisskyrepo](https://github.com/swisskyrepo) 编写。 - [tl;dr sec](https://tldrsec.com/) - 顶级安全工具、博客文章和安全研究的每周摘要。 ## 论坛 - [Phrack Magazine](http://www.phrack.org/) - 由黑客编写并为黑客服务的电子杂志。 - [The Hacker News](https://thehackernews.com/) - 严肃的安全资讯。 - [Security Weekly](https://securityweekly.com/) - 安全播客网络。 - [The Register](http://www.theregister.co.uk/) - 咬住喂给 IT 的那只手。 - [Dark Reading](https://www.darkreading.com/Default.asp) - 连接信息安全社区。 - [HackDig](http://en.hackdig.com/) - 为黑客挖掘高质量 Web 安全文章。 ## 简介 ### XSS - 跨站脚本攻击 - [Cross-Site Scripting – Application Security – Google](https://www.google.com/intl/sw/about/appsecurity/learning/xss/) - 由 [Google](https://www.google.com/) 编写。 - [H5SC](https://github.com/cure53/H5SC) - 由 [@cure53](https://github.com/cure53) 编写。 - [AwesomeXSS](https://github.com/s0md3v/AwesomeXSS) - 由 [@s0md3v](https://github.com/s0md3v) 编写。 - [XSS.png](https://github.com/LucaBongiorni/XSS.png) - 由 @jackmasa 编写。 - [C.XSS Guide](https://excess-xss.com/) - 由 [@JakobKallin](https://github.com/JakobKallin) 和 [Irene Lobo Valbuena](https://www.linkedin.com/in/irenelobovalbuena/) 编写。 - [THE BIG BAD WOLF - XSS AND MAINTAINING ACCESS](http://www.paulosyibelo.com/2018/06/the-big-bad-wolf-xss-and-maintaining.html) - 由 [Paulos Yibelo](http://www.paulosyibelo.com/) 编写。 - [payloadbox/xss-payload-list](https://github.com/payloadbox/xss-payload-list) - 由 [@payloadbox](https://github.com/payloadbox) 编写。 - [PayloadsAllTheThings - XSS Injection](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSS%20Injection) - 由 [@swisskyrepo](https://github.com/swisskyrepo) 编写。 ### 原型污染 - [Prototype pollution attack in NodeJS application](https://github.com/HoLyVieR/prototype-pollution-nsec18/blob/master/paper/JavaScript_prototype_pollution_attack_in_NodeJS.pdf) - 由 [@HoLyVieR](https://github.com/HoLyVieR) 编写。 - [Exploiting prototype pollution – RCE in Kibana (CVE-2019-7609)](https://research.securitum.com/prototype-pollution-rce-kibana-cve-2019-7609/) - 由 [@securitymb](https://twitter.com/securitymb) 编写。 - [Real-world JS - 1](https://blog.p6.is/Real-World-JS-1/) - 由 [@po6ix](https://twitter.com/po6ix) 编写。 ### CSV 注入 - [CSV Injection -> Meterpreter on Pornhub](https://news.webamooz.com/wp-content/uploads/bot/offsecmag/147.pdf) - 由 [

标签：CISA项目, CSRF, meg, SSRF, Web安全, Windows内核, XSS, 信息安全, 内核模块, 多线程, 安全学习, 安全资源, 提示词注入, 数据可视化, 漏洞分析, 漏洞情报, 白帽子, 网络安全, 蓝队分析, 路径探测, 防御加固, 隐私保护