昨天Struts漏洞大爆发，N多大站被爆出存在strtus2漏洞，百度，百合，京东等也在其中，本站也等一时间发布了strtus2漏洞的预警，具体文章请看 struts2最新s2-016代码执行漏洞 –...

前言 最开始是11月27号，突然看到一枚补丁。说是前台上传头像可getshell.立马被吸引住了。通过两份补丁的对比，发现在处理压缩包的过程中出现了一段删除当前文件夹下的全部文件夹。然后就菊花一紧。通...

好久没有写php版的exp脚本了，最近写了个phpcms authkey注入的exp，有小伙伴就问了，我的php脚本是否忘了写结束标记了。看来好多朋友可能对这个问题不甚了解，我也不是太了解，网上转个文...

今天在写一个ASP+MSSQL2005注入点的时候，数据库暴错：[DBNETLIB][ConnectionOpen(Invalid Instance())] 无效的连接，原文代码请见构造ASP注入点这...

mysql暴错注入方法整理，通过floor，UpdateXml，ExtractValue，NAME_CONST，Error based Double Query Injection等方法 1、通过fl...

找真实IP的方法很多，总有一招是有用的。对于多层架构的CDN来说，常见的tracert等方法是找不到真实ip的。 www法 以前我用CDN的时候有个习惯，只让WWW域名使用cdn，秃域名不适用，为的是...

相信大家在做渗透测试的时候都有过这样的经历，明明一个XSS的漏洞，但是却有XSS过滤规则或者WAF保护导致我们不能成功利用，比如我们输入alert("hi")，会被转换为，这样的话我们的XSS就不生效...

绕过原理说明： 为了网站SEO方法，默认情况下安全狗开启了搜索引擎爬虫白名单，在白名单里面的关键字都会自动放行，基于此特性，我们就可以找到绕过安全狗的方法了。 那么一般情况下网站是如何识别爬虫的呢？ ...

实例讲解如何利用URL编码绕过WAF防护 SQL注入点 http://www.magrabiyemen.com/contents.php?id=3 字段数为4 http://www.magrabiye...

最近学习python，然后写的练习工具，希望兄弟们喜欢。。 先发一个单线程版的吧，多线程版的明天发出，祝兄弟们中秋节快乐。 Python FTP暴力破解工具单线程版 #!/usr/bin/env py...

1. 简介 跨站点脚本(XSS)是当前web应用中最危险和最普遍的漏洞之一。安全研究人员在大部分最受欢迎的网站,包括Google, Facebook, Amazon, PayPal等网站都发现这个漏洞...

背景 2015年3月5日，十二届全国人大三次会议盛大召开。李克强总理在《政府工作报告》中多次提到互联网金融，明确指出“互联网金融异军突起”，并提出要“促进互联网金融健康发展”。 中国人民银行原副行长、...