首发360播报：http://bobao.360.cn/learning/detail/113.html 最近写的文章比较喜欢投递到各大平台，一是能赚点学费养家糊口，二是提高一下原创性。我发现如果文章发到一些社区或直接发博客，知...

收假啦，收假啦，一篇文首发drops：http://drops.wooyun.org/tips/4482 今天看到zone里有同学发帖说了探测支付宝登录状态的帖子：http://zone.wooyun.org/content/17665 由此我想到了我们parsec...

看到360官微在微博上说了， http://www.jiathis.com/code/swf/m.swf 存在XSS漏洞，可以导致使用了JiaThis的任意网站产生漏洞。得到这个线索，我们来开始顺藤摸瓜，对这个XSS的原理与利用方法进...

当初选择ngx_lua_waf作为自己的WAF，主要原因就是因为其可扩展性与性能上有一个很好的平衡。 lua语言的灵活性与效率是很多脚本层WAF无可匹及的。 ngx_lua_waf自身是比较简单的，而且存在很多误...

0x01 起因 几天前学弟给我介绍他用nginx搭建的反代，代理了谷歌和维基百科。  由此我想到了一些邪恶的东西：反代既然是所有流量走我的服务器，那我是不是能够在中途做些手脚，达到一些有趣的目...

最近很多人分享一些过狗过盾的一句话，但无非是用各种方法去构造一些动态函数，比如$_GET['func']($_REQUEST['pass'])之类的方法。万变不离其宗，但这种方法，虽然狗盾可能看不出来，但人肉眼其...

我发表在drops上的一篇娱乐文章（http://drops.wooyun.org/tips/9405），大家看过笑笑就好。 XDCTF2015是我觉得很给力的一次CTF，题目难度适中，也没出什么乱子，圆满结束了。 向来CTF是很容易...

不知道什么时候突然发现我已经稳定运行了近半年的sec-news（http://wiki.ioin.in）突然变得特别慢，为跳转效率我也是尝试了很多方法，比如加缓存。我使用了一个叫flask-cache的缓存: https://p...

现代cms框架（laraval/symfony/slim）的出现，导致现今的php漏洞出现点、原理、利用方法，发生了一些变化，这个系列希望可以总结一下自己挖掘的此类cms漏洞。 今天这个漏洞是SRCMS里由于Model的...

【过年了，每天发一篇以前的存货，一共七篇。】 现代cms框架（laraval/symfony/slim）的出现，导致现今的php漏洞出现点、原理、利用方法，发生了一些变化，这个系列希望可以总结一下自己挖掘的...