安全博客文章共693篇
分享下我 Github 被封的经历-安全小百科

分享下我 Github 被封的经历

最近好像又有人 Github 被封,每隔一段时间就有。分享下我自己的经历吧,好几年以前了,也许还是有点参考价值。 账号被封,查找原因 那是 2017 年 12 月,有天早上起来突然发现自己的号phith0n...
admin的头像-安全小百科admin2年前
0130
我是如何利用环境变量注入执行任意命令-安全小百科

我是如何利用环境变量注入执行任意命令

本文发表于跳跳糖,转载请联系对方。 这周三在『代码审计知识星球』中发了一段代码,用户可以控制环境变量,但后面没有太多可控的地方,最后找到了一处执行命令,不过命令用户也不可控。用PHP...
admin的头像-安全小百科admin2年前
0130
GoAhead环境变量注入复现踩坑记-安全小百科

GoAhead环境变量注入复现踩坑记

昨天关注到了GoAhead的环境变量注入漏洞,主要是下面这两篇文章: PBCTF 2021 - RCE 0-Day in Goahead Webserver CVE-2021-42342 GoAhead 远程命令执行漏洞深入分析与复现 实际上已经是几个月...
admin的头像-安全小百科admin2年前
0140
出中国记(下)-安全小百科

出中国记(下)

这篇文章是出中国记的下半部分。 继续插播广告:我们团队(Shopee Security Team)正在大力招聘,相关介绍和岗位JD见这里:https://www.leavesongs.com/PENETRATION/singapore-shopee-security-...
admin的头像-安全小百科admin2年前
0580
开源项目捐赠预算-安全小百科

开源项目捐赠预算

最近爆发的Log4j代码执行漏洞 CVE-2021-44228,不光在安全圈引起了轩然大波,整个互联网行业都有受到波及,但这个漏洞的“始作俑者”是一个仅拥有3个赞助者的开源项目。虽然可能有其他没有统计...
admin的头像-安全小百科admin3年前
0260
出中国记(上)-安全小百科

出中国记(上)

插个小广告:我们团队(Shopee Security Team)正在大力招聘,相关介绍和岗位JD见这里:https://www.leavesongs.com/PENETRATION/singapore-shopee-security-team-recruitment.html 😋11月14日...
admin的头像-安全小百科admin3年前
0130
Docker PHP裸文件本地包含综述-安全小百科

Docker PHP裸文件本地包含综述

本文首发在跳跳糖社区。 2018年『代码审计』星球举办的Code-Breaking Puzzles非常成功,后面我就一直想再做一次类似的活动。Code-Breaking属于极其偏向于trick分享的代码审计谜题,所以要求题...
admin的头像-安全小百科admin3年前
0360
Apache mod_proxy SSRF(CVE-2021-40438)的一点分析和延伸-安全小百科

Apache mod_proxy SSRF(CVE-2021-40438)的一点分析和延伸

周五晚上开始学习Apache HTTP Server(后文简称为Apache)mod_proxy的SSRF漏洞(CVE-2021-40438),并在星球简单介绍了一下编译、调试Apache服务器的方法,今天继续深入分析一下这个漏洞的成因...
admin的头像-安全小百科admin3年前
0110
出中国记(上)-安全小百科

出中国记(上)

😋11月14日我发了一条朋友圈,收获了我微信中迄今为止最多的赞和评论——是的,我搬到新加坡来了,准备在这个陌生的地方开始我的新工作。相关推荐: 大菠萝WifiPineapple使用浅析(二)以下内容仅...
admin的头像-安全小百科admin3年前
0150
Docker PHP裸文件本地包含综述-安全小百科

Docker PHP裸文件本地包含综述

2018年『代码审计』星球举办的Code-Breaking Puzzles非常成功,后面我就一直想再做一次类似的活动。Code-Breaking属于极其偏向于trick分享的代码审计谜题,所以要求题目具有一定的独创性,最好...
admin的头像-安全小百科admin3年前
0130