最近好像又有人 Github 被封，每隔一段时间就有。分享下我自己的经历吧，好几年以前了，也许还是有点参考价值。 账号被封，查找原因 那是 2017 年 12 月，有天早上起来突然发现自己的号phith0n...

本文发表于跳跳糖，转载请联系对方。 这周三在『代码审计知识星球』中发了一段代码，用户可以控制环境变量，但后面没有太多可控的地方，最后找到了一处执行命令，不过命令用户也不可控。用PHP...

昨天关注到了GoAhead的环境变量注入漏洞，主要是下面这两篇文章： PBCTF 2021 - RCE 0-Day in Goahead Webserver CVE-2021-42342 GoAhead 远程命令执行漏洞深入分析与复现 实际上已经是几个月...

这篇文章是出中国记的下半部分。 继续插播广告：我们团队（Shopee Security Team）正在大力招聘，相关介绍和岗位JD见这里：https://www.leavesongs.com/PENETRATION/singapore-shopee-security-...

最近爆发的Log4j代码执行漏洞 CVE-2021-44228，不光在安全圈引起了轩然大波，整个互联网行业都有受到波及，但这个漏洞的“始作俑者”是一个仅拥有3个赞助者的开源项目。虽然可能有其他没有统计...

插个小广告：我们团队（Shopee Security Team）正在大力招聘，相关介绍和岗位JD见这里：https://www.leavesongs.com/PENETRATION/singapore-shopee-security-team-recruitment.html 😋11月14日...

本文首发在跳跳糖社区。 2018年『代码审计』星球举办的Code-Breaking Puzzles非常成功，后面我就一直想再做一次类似的活动。Code-Breaking属于极其偏向于trick分享的代码审计谜题，所以要求题...

周五晚上开始学习Apache HTTP Server（后文简称为Apache）mod_proxy的SSRF漏洞（CVE-2021-40438），并在星球简单介绍了一下编译、调试Apache服务器的方法，今天继续深入分析一下这个漏洞的成因...

😋11月14日我发了一条朋友圈，收获了我微信中迄今为止最多的赞和评论——是的，我搬到新加坡来了，准备在这个陌生的地方开始我的新工作。相关推荐: 大菠萝WifiPineapple使用浅析(二)以下内容仅...

2018年『代码审计』星球举办的Code-Breaking Puzzles非常成功，后面我就一直想再做一次类似的活动。Code-Breaking属于极其偏向于trick分享的代码审计谜题，所以要求题目具有一定的独创性，最好...