0X00 概述 Java反序列化漏洞已经被曝出一段时间了，本人参考了网上大神的放出来的工具，将Jboss、Websphere和weblogic的反序列化漏洞的利用集成到了一起。FreeBuf上已经公开...

近日，安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架-Struts2存在远程代码执行的严重漏洞。 漏洞编号： S2-045，CVE-2017-5638 漏洞名...

最近学习Scrapy爬虫，发现没有啥好的教程，只能去Youtube看看了，刚好朋友那里有一个思科的ipsecvpn可用，但是一直苦于没有好的客户端工具，Cisco VPN Client在win10上面...

BurpSuite相信搞WEB安全的人都知道，但是有N多人手握神器却不知道如何加以利用，曾经有人出了个burpsuite的系统视频教程在网上公开叫卖，有违黑客共享精神，好在我的好朋友藏形匿影已经录制了...

在盲打满天飞的年代，我等小菜却苦于无一套详细的实战教程而落于人后，前几天无意获得几枚神器，遂集中于此贴，共享之，希望像我这样的苦逼小屌丝努力学习，利用XSS盲打天下站。 在此谢谢pkav的大牛们，出了...

前段时间安全宝举办了一次活动，测试云WAF绕过等，活动地址：http://blog.anquanbao.org/61/，我和ay暗影都有参加，我提交了19个xss，最终确认的有14个，ay暗影提交的都...

上周参加了安全宝的WAF绕过反馈活动，今天收到了积分结果，排在第一名的是@matt 310积分，其次是@pandas 300积分，第三名是@Ay暗影 250积分，注入小天使依然名列前矛，ay暗影不是盖...

什么是CC攻击? CC攻击就是利用大量代理服务器对目标计算机发起大量连接，导致目标服务器资源枯竭造成拒绝服务。那么如何判断查询CC攻击呢? 本文主要介绍了一些Linux下判断CC攻击的命令。 查看所有...

使用zblog已经有几年的时间了，总体觉得很不错，但是随着博客的访问量及搜索引擎收录的提高，垃圾留言及评论也越来越多，虽然使用了防垃圾留言 插件，但是效果不怎么好，已经开启了评论的验证码一样可以使用工...

Havij是一款自动化的SQL注入工具,它能够帮助渗透测试人员发现和利用Web应用程序的SQL注入漏洞。此次Freebuf会员unshell投递的是Havij Pro v1.17破解版。 1、安装Ha...

Cross-Site Request Forgery（CSRF），中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10，在当前web漏洞排行中，与XSS和SQL注入并列前三。与前两者相比，C...

好久没有关注phpcms了，最近老是有朋友问我关于phpcms的问题，网上找了一下，目前问题比较严重的就是这个authkey泄露导致sql注入拿shell的了，先转些介绍文章吧，exp稍候写出来了再发...