验证过滤用户的输入 即使是最普通的字母数字输入也可能是危险的,列举几个容易引起安全问题的字符: ! $ ^ & * ( ) ~ [ ] \ | { } ' " ; < > ? - ...
PHP类继承与全局变量组合造成的漏洞分析
某CMS改动后又给自己挖坑了 0x00 起因组里的师弟在学习代码审计时遇到了某CMS的一个XSS漏洞,问题在于老版本是没有这个漏洞的,而且看起来也调用了相关的过滤函数,但是XSS还是触发了。 经过讨论...
PHP代码审计学习
这是一次分享准备。自己还没有总结这个的能力,这次就当个搬运工好了~~ 0x01 工具准备PHPSTORM,不只是编程。 个人觉得只要能够提供全局搜索、单页搜索、函数跳转的编辑器就能够满足要求。一般在审...
FangfaCMS前台PHP命令执行+多处SQL注入代码审计
这是一篇加密的博文~~ var cyber = "U2FsdGVkX1++Qi8pPIjAejmvnJMrQbnb8/tn5f4zPheqjWNPy5/E4f51GUFKPJFyOJfb5zNASWi...
Python与它的opcode
0CTF中有一道opcode修改的题,当时觉得除了暴力尝试还原外没有什么更好的思路,结果后来看到了别人的write up,还真是暴力尝试~~ 0x01 PyCodeObjectPython代码在运行时...
Python实现网页解析翻译
先不说主流的几款提供翻译接口的产品在翻译的水准上如何,就HTML标签识别来说,度娘恐怕没有谷歌和必应做的好。 0x01 需求最近需要写程序翻译一批英文网页,要求翻译后的网页排版样式基本不变。经过前期测...
python打造url采集器
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系刘一手请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后...
【脚本】利用OPS让交换机自动定时备份配置到服务器
转载于公众号:实践技术作者:diff张前言:很多做网络运维的朋友,是不是有这样的需求,就是定时备份交换机的配置,如果没有网管平台,我们通常是通过远程登录交换机,一台一台的手动备份配置,效率很低,要是...
【Pyhacker编写指南】Sql注入脚本编写
这节课是巡安似海PyHacker编写指南的《Sql注入脚本编写》有些注入点sqlmap跑不出,例如延时注入,实际延时与语句延时时间不符,sqlmap就跑不出,这就需要我们自己根据实际情况编写脚本来注入...
多线程程序中操作的原子性
来源:Guancheng (G.C.)0. 背景原子操作就是不可再分的操作。在多线程程序中原子操作是一个非常重要的概念,它常常用来实现一些同步机制,同时也是一些常见的多线程Bug的源头。本文主要讨论了...
JAVA代码审计录屏分享
昨晚的录屏已经首发哔哩哔哩。视频中的靶场资料请关注本公众号,回复 代码审计 即可获取视频地址:https://www.bilibili.com/video/BV1TY4y1t7q1/ 原文...
python 模拟登录github
一直无法接受 python 的缩进语法,所以非常排斥 python, 但是工作中又离不开python, 所以只好接受它 . 接触一两天发现python用起来还是挺方便的(废话) 12345678910...
312