近日，素有“全球白帽黑客奥斯卡”之称的网络安全奖项Pwnie Awards揭榜了2023年度的各大奖项提名。在今年的奖项提名中，有Best Desktop Bug、Best Mobile Bug、Most Innovative Research、Lames...

题目描述：菜狗经过几天的学习，终于发现了如来十三掌最后一步的精髓 附件给了一个压缩包，伪加密，使用360解压缩成功解压。 解压后是一个文本文件，如下图，使用base64加密的一堆字符串， ...

最近好像又有人 Github 被封，每隔一段时间就有。分享下我自己的经历吧，好几年以前了，也许还是有点参考价值。 账号被封，查找原因 那是 2017 年 12 月，有天早上起来突然发现自己的号phith0n...

本文发表于跳跳糖，转载请联系对方。 这周三在『代码审计知识星球』中发了一段代码，用户可以控制环境变量，但后面没有太多可控的地方，最后找到了一处执行命令，不过命令用户也不可控。用PHP...

昨天关注到了GoAhead的环境变量注入漏洞，主要是下面这两篇文章： PBCTF 2021 - RCE 0-Day in Goahead Webserver CVE-2021-42342 GoAhead 远程命令执行漏洞深入分析与复现 实际上已经是几个月...

这篇文章是出中国记的下半部分。 继续插播广告：我们团队（Shopee Security Team）正在大力招聘，相关介绍和岗位JD见这里：https://www.leavesongs.com/PENETRATION/singapore-shopee-security-...

最近爆发的Log4j代码执行漏洞 CVE-2021-44228，不光在安全圈引起了轩然大波，整个互联网行业都有受到波及，但这个漏洞的“始作俑者”是一个仅拥有3个赞助者的开源项目。虽然可能有其他没有统计...

插个小广告：我们团队（Shopee Security Team）正在大力招聘，相关介绍和岗位JD见这里：https://www.leavesongs.com/PENETRATION/singapore-shopee-security-team-recruitment.html 😋11月14日...

本文首发在跳跳糖社区。 2018年『代码审计』星球举办的Code-Breaking Puzzles非常成功，后面我就一直想再做一次类似的活动。Code-Breaking属于极其偏向于trick分享的代码审计谜题，所以要求题...

周五晚上开始学习Apache HTTP Server（后文简称为Apache）mod_proxy的SSRF漏洞（CVE-2021-40438），并在星球简单介绍了一下编译、调试Apache服务器的方法，今天继续深入分析一下这个漏洞的成因...