0x01 背景 现在的WEB应用对SQL注入的防护基本都是判断GPC是否开启，然后使用addlashes函数对单引号等特殊字符进行转义。但仅仅使用这样的防护是存在很多盲点的，接上篇http://www...

最近ImageMagick漏洞比较火，上传一个图片，搞定一台服务器已经不在话下。。。收集一些大牛们YD的思路，供大学学习。。 当你上传了一个webshell，遇到下面的情况如何解决？ disable_...

之前本站发布了imagemagic的 安全预警，里面只有imagemagick的检测代码，没有详细的利用方式，现在附一个简单的poc给大家测试。 1、关于如何查找服务器是否支持imagemagic的问...

0x01 背景 现在的WEB应用对SQL注入的防护基本都是判断GPC是否开启，然后使用addlashes函数对单引号等特殊字符进行转义。但仅仅使用这样的防护是存在很多盲点的，比如最经典的整型参数传递，...

前言： 在实际项目代码审计中发现，目前很多手机银行虽然使用了https通信方式，但是只是简单的调用而已，并未对SSL证书有效性做验证。在攻击者看来，这种漏洞让https形同虚设，可以轻易获取手机用户的...

Struts S2-020这个通告已经公布有一段时间了。目前大家都知道这个漏洞可以造成DOS、文件下载等危害，相信各大厂商也已经采取了相应的安全措施。今天是和大家分享一下对这个漏洞的一点研究，包括如何...

这里拿cve-2016-5734讲讲preg_replace引发的命令执行漏洞，漏洞在exploit-db上有利用脚本，经过测试没有问题。这里对这个漏洞进行一下回溯跟踪来解释下preg_replace...

0x00 简介 之前看了seay写的PHP代码审计的书，全部浏览了一遍，作为一个代码审计小白，希望向一些和我一样的小白的人提供一下我的收获，以及一个整体的框架和常见漏洞函数。这也算是这本书的一个学习笔...

今天在群里偶得一神器，测试之，异常之强大，而且工具非常简洁，菜鸟也能使用，共享给大家玩玩。 神器介绍： 神器名称：小龙web漏洞扫描器V1.0 神器作者：小龙 QQ号：2874599391 神器功能：...

为了让最终用户将文件上传到您的网站，就像是给危及您的服务器的恶意用户打开了另一扇门。即便如此，在今天的现代互联网的Web应用程序，它是一种常见的要求，因为它有助于提高您的业务效率。在Facebook和...

今天是我们网络信息安全攻防学习平台过关攻略的最后一期了，希望我的连载能给予大家帮助，当然也不希望你在看完了攻略了以后再去做题目，这样你就没有自己进行思考了，也不利于你的学习，在你进行了所有的尝试之后实...

昨天是双11，光棍节，陪着群里的一群小光棍们玩了一个光棍节程序员闯关秀，发现有点意思，记录一下，供有需要的同学们参考。 光棍节程序员闯关秀游戏地址： 光棍节程序员闯关秀 第1关 查看源代码，发现a标签...