研究过国内外的waf。分享一些 奇淫绝技。一些大家都了解的技巧如：/!/,SELECT[0x09,0x0A-0x0D,0x20,0xA0]xx FROM 不再重造轮子。

本文为2013年5月18日在乌云北京沙龙所做报告的部分摘要。文章所述观点仅代表本人，不代表本人所在企业或其他组织。

PS：不确定文章中的内容会不会被和谐 互联网中劫持可以理解为正常用户的请求在返回响应之前响应内容被篡改，或者正常用户的请求内容被非法获取从而代为请求。无论是个人还是公司或多或少都会...

目前有很多网站做了rewrite.通常情况下，动态脚本的网站的url类似下面这样 http://www.xxoo.net/aa.php?id=123 做了伪静态之后类似这样 htt...

通常一些web应用我们会使用多个web服务器搭配使用，解决其中的一个web服务器的性能缺陷以及做均衡负载的优点和完成一些分层结构的安全策略等！

假：表示查询是错误的 (MySQL 报错/返回页面与原来不同)真：表示查询是正常的 (返回页面与原来相同)

随着人们的生活越来越离不开网络，也越来越离不开移动手机，一般的公共厂商都已经将wifi作为基础服务进行提供，譬如在星巴克、麦当劳等公共场所边点杯热饮边“蹭网”，已经是一个基本的习惯...

Clickjacking（点击劫持）是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年首创的。

之前在 zone 里边有人讨论过CISCO 的后门问题我就说了个利用TCL cisco 的一个脚本处理技术详见http://www.cisco.com/en/US/docs/ios...

最近看了一些文章，比如利用TTL 判断GFW，或者一些奇怪设备的位置，特做一个实验，看一下TTL 及TRACERT 。 TRACERT 大概的原理，就是通过发送不断+1 的TTL（...

0x00 背景zabbix近几年得到了各大互联网公司的认可，其强大的功能得到了各位运维攻城狮的亲耐。 公司本身也用zabbix做监控，对其属性也有所了解。不得不说zabbix除了监...

0x00 前言数据序列化，这是个很常见的应用场景，通常被广泛应用在数据结构网络传输，session存储，cache存储，或者配置文件上传，参数接收等接口处。主要作用是为了能够让数据...