SQL Injection (intro)0x02select department from employees where first_name='Bob';0x03update employees set department='Sales' where first_name='Tobi';0x04alter table employees add c...

一、背景1.  威胁情报库建设的背景和需求1)  新时代攻防趋势与需求的变化。随着互联网特别是移动互联网的发展，网络环境愈发复杂，不同的攻击行为更具产业化、团伙化，入侵手法也愈发...

介绍 Python代码审计方法多种多样，但是总而言之是根据前人思路的迁移融合扩展而形成。目前Python代码审计思路，呈现分散和多样的趋势。Python微薄研发经验以及结合实际遇到的思路和技巧进行...

前言Vimeo是一个高清视频播客网站，与大多数类似的视频分享网站不同，Vimeo允许上传1280X700的高清视频，上传后Vimeo会自动转码为高清视频，源视频文件可以自由下载，它达到了真正的高清视频标...

LSP4XML是一个XML文件解析库，被VSCode/Eclipse/Theia等知名编辑器中使用，如vscode的VSCode-XML扩展、Eclipse的 wildwebdeveloper扩展,Theia的theia-xml扩展等等, 可以实现XXE攻击 (CVE-2019-1...

fastjson 是 java 中常用的一个用来序列化/反序列化 JSON 数据的库。因其优异的性能表现在 java web 开放中应用比较广泛。这两天花 3 分钟入门了 JAVA 安全最近需要写一个 fastjson 的检测插件...

这应该是一个很早以前就爆出来的漏洞，而我见到的时候是在TCTF2018 final线下赛的比赛中，是被 Dragon Sector 和 Cykor 用来非预期h4x0r's club这题的一个技巧。 http://russiansecurity.exp...

 XXE从入门到放弃 一、认识XML和XXEXXE全称XML External Entity Injection，也就是XML外部实体注入攻击，是对非安全的外部实体数据进行处理时引发的安全问题。要想搞懂XXE，肯定要先了解XML语...

最近在挖各大src，主要以逻辑漏洞为主，想着总结一下我所知道的一些逻辑漏洞分享一下以及举部分实际的案例展示一下，方便大家理解。 主要从两个方面看，业务方面与漏洞方面。（接下来就从拿到网...

PHP4/5/7版本中提供了fsockopen方法，该方法用于打开一个网络连接或者一个Unix套接字连接，也可以用来进行开放端口扫描。下面是PHP官方对于fsockopen方法的说明：使用fsockopen()方法我们可以设...