独自等待

0x01 背景 现在的WEB应用对SQL注入的防护基本都是判断GPC是否开启，然后使用addlashes函数对单引号等特殊字符进行转义。但仅仅使用这样的防护是存在很多盲点的，比如最经典的整型参数传递，...

前言： 在实际项目代码审计中发现，目前很多手机银行虽然使用了https通信方式，但是只是简单的调用而已，并未对SSL证书有效性做验证。在攻击者看来，这种漏洞让https形同虚设，可以轻易获取手机用户的...

Struts S2-020这个通告已经公布有一段时间了。目前大家都知道这个漏洞可以造成DOS、文件下载等危害，相信各大厂商也已经采取了相应的安全措施。今天是和大家分享一下对这个漏洞的一点研究，包括如何...

这里拿cve-2016-5734讲讲preg_replace引发的命令执行漏洞，漏洞在exploit-db上有利用脚本，经过测试没有问题。这里对这个漏洞进行一下回溯跟踪来解释下preg_replace...

0x00 简介 之前看了seay写的PHP代码审计的书，全部浏览了一遍，作为一个代码审计小白，希望向一些和我一样的小白的人提供一下我的收获，以及一个整体的框架和常见漏洞函数。这也算是这本书的一个学习笔...

今天在群里偶得一神器，测试之，异常之强大，而且工具非常简洁，菜鸟也能使用，共享给大家玩玩。 神器介绍： 神器名称：小龙web漏洞扫描器V1.0 神器作者：小龙 QQ号：2874599391 神器功能：...

为了让最终用户将文件上传到您的网站，就像是给危及您的服务器的恶意用户打开了另一扇门。即便如此，在今天的现代互联网的Web应用程序，它是一种常见的要求，因为它有助于提高您的业务效率。在Facebook和...

今天是我们网络信息安全攻防学习平台过关攻略的最后一期了，希望我的连载能给予大家帮助，当然也不希望你在看完了攻略了以后再去做题目，这样你就没有自己进行思考了，也不利于你的学习，在你进行了所有的尝试之后实...

昨天是双11，光棍节，陪着群里的一群小光棍们玩了一个光棍节程序员闯关秀，发现有点意思，记录一下，供有需要的同学们参考。 光棍节程序员闯关秀游戏地址： 光棍节程序员闯关秀 第1关 查看源代码，发现a标签...

最近zabbix又出大事了，高危的SQL注入漏洞，影响V3.0.4以下所有版本，请小伙伴及时修复。 漏洞概述： zabbix是一个开源的企业级性能监控解决方案。 官方网站：http://www.zab...

之前ImageMagic漏洞火的时候，本站转发了一篇关于利用ImageMagic漏洞来绕过disable_function限制的文章，文章链接如下： 利用ImageMagick漏洞绕过disable_...

漏洞是比较老的漏洞，最初由360暴出来的，数字公司大牛还是很多的。网上也有N多exp了，之前在k8看到了gui的利用工具，研究了一下，也整了个php版的exp，喜欢的拿去。 由于漏洞源于ecshop的...