前言：前段时间挖的cms，发现存在诸多逻辑漏洞，，就发出来让新手学习一波吧，，重在审计手法~ IdeaCMS微商城v2.0是我们在1.0用户需求及反馈的基础上通过近八个月全新研发的集PC+手机+微信于一...

0x01. 背景 好久没写文章了，来写一篇水文。2016年对自己最大的愿望就是养成看书的习惯，改掉以前只买书不看书的“坏习惯”。2016年看的第一本书是Seay法师的代码审计的书。还记得当程序员时的...

        0X01 Jsonp hijacking作用 这是一种基于水坑攻击的攻击方式，用于大规模的获取用户信息，因为可以绕过同源策略的限制而展开，所以其威力巨大，尤其是在一些大型网站的接口处，用...

照着前辈大佬的审计过程走了一遍，，还是很有收获的！代码是几年以前的，，而且也没有用到MVC框架，整个来说也不是很复杂，但是对于java入门，，我觉得够用了！ 下载地址：http://down.chinaz.c...

0x00 前言 前段时间在测试某商城系统时,发现使用了某通用CMS，本着学习的态度，于是下载下来对源码进行分析。 因为自己懒得搭环境，喜欢实战环境，所以直接找官方Demo，因为漏洞提交至今未修复...

author:水泡泡 0x00 前言 整个利用链构造下来是比较有趣的，首发于某个安全圈子，主要是想分享一下思路，发过来先知是为了看看有没有什么建议，讨论。 此次审的是yxcms 1.4.6版本，应该是最后一...

*本文原创作者：ADog，属于FreeBuf原创奖励计划，未经许可禁止转载 前言 由于开源的JAVA WEB项目不是很多，这里找到一个没有用struct2或是spring框架的cms，希望借此cms来帮助新手敲开JAVA代码...

前言：很久没有审计php源码了，，这次到源码之家下了一套最新的源码并花了一点时间看了一下可能存在的问题，这一看还真看出问题出来了~ 0x01 cms简介 cms下载地址：http://down.admin5.com/php/...

主要看ppt，参考的论文是NDSS会议上的一篇论文（https://www.ndss-symposium.org/wp-content/uploads/sites/25/2018/02/ndss2018_07A-4_Melicher_paper.pdf）,如果有疑问可以留言评论~ DOM XSS...

作者：Lz1y 基友szrzvdny的朋友博客被入侵了,由于是虚拟空间,所以只有apache访问日志以供分析 这里已经做去敏操作了，以供学习: 链接: https://pan.baidu.com/s/1JUII7_ZOK1SIxnWxlzu0Hw 密码: ...