作者:Matrix ,来源于先知社区前言本次小程序漏洞挖掘比较基础,第一次写文章,有不足的地方麻烦师傅们指点一下。正文目标小程序已上线,但仅能申请后内部员工使用,是一个廉政答题小程序。打开小...
安全文章
安全文章
安全文章
8种src常用越权测试小技巧
(1)添加参数user/infouser/info?id=123(2)hpp 参数污染user/info?id=1user/info?id=2&id=1user/info?id=2,2&...
逆向工程
某工匠杯预选赛题解
一、反序列化1.打开靶场,首页:回显内容:you are not admin !<!--$user = $_GET;$file = $_GET;$pass = $_GET;if(isset($u...
逆向工程
2020 第四届强网杯全国网络安全挑战赛Online Writeup
前言近期的一个周末参加了强网杯线上赛,以下是web题解。web辅助类定义如下:user = $user; $this->pass = $pa...
安全工具
激活用户小工具
前言在渗透测试工作中,我们偶尔可能会遇到需要激活guest等用户的操作,所以编写了该工具,进行方便使用。基本命令如下:net user guest /active:yes编写工具这里我们用到netus...
代码审计
某网站管理系统辣鸡审计
审计菜鸟也想学好审计跟着a1师傅要了几套水货源代码,想自己审计一下,在这里向a1师傅表白主页:把码打好,对作者表示尊重过程:先简略查看全部文件,查看到一个360webscan脚本,我们给他关掉,这个脚...
未分类
为什么MySQL不推荐使用uuid或者雪花id作为主键?
点击上方 Java后端,选择 设为星标优质文章,及时送达在mysql中设计表的时候,mysql官方推荐不要使用uuid或者不连续不重复的雪花id(long形且唯一,单机递增),而是...
安全开发
explain都不会用,你还好意思说精通MySQL查询优化?
来自公众号:非科班的科班Explain简介Explain关键字是Mysql中sql优化的常用「关键字」,通常都会使用Explain来「查看sql的执行计划,而不用执行sql」,从而快速的找出sql的问...
安全开发
永远不要在代码中使用「User」这个单词!
点击上方“编程技术进阶”,选择加"星标"或“置顶”重磅干货,第一时间送达来源:21cto.com/article/2093当你意识到你在项目开始时做的轻量、简单的设想竟然完全错了时,你已经用了六个月的...
漏洞时代
YouYaX_V5.66 SQL注入漏洞(官网躺枪)
/Lib/MessageAction.php行94[php] public function delMesses() { $user = $_SESSION['youyax_use...
漏洞时代
云购Cms#重装漏洞
浅蓝在install目录下 有个setconf.php 先来看看内容虽然index check.php 等文件都验证 唯独重要的setconf.php没有
漏洞时代
通达oa多处二次注射漏洞
添加关注的人,众多功能依赖该数据提交
