照着前辈大佬的审计过程走了一遍，，还是很有收获的！代码是几年以前的，，而且也没有用到MVC框架，整个来说也不是很复杂，但是对于java入门，，我觉得够用了！ 下载地址：http://down.chinaz.c...

前言 本文从笔者自己对同源策略的理解来谈谈与之相关的JSONP劫持和CORS错误配置这两类安全问题。 同源策略(SOP) 同源策略限制从一个源加载的文档或脚本与来自另一个源的资源进行交互,这是一个用...

author:水泡泡 0x00 前言 整个利用链构造下来是比较有趣的，首发于某个安全圈子，主要是想分享一下思路，发过来先知是为了看看有没有什么建议，讨论。 此次审的是yxcms 1.4.6版本，应该是最后一...

前言：很久没有审计php源码了，，这次到源码之家下了一套最新的源码并花了一点时间看了一下可能存在的问题，这一看还真看出问题出来了~ 0x01 cms简介 cms下载地址：http://down.admin5.com/php/...

这两天想着锻炼一下自己的编程能力，所以想结合实际情景写出一个python脚本，这个实际场景就是在平时进行渗透测试的时候，我们首先会做信息的搜集，这块肯定就少不了子域名的搜集。 子域名的搜...

作者：Lz1y 基友szrzvdny的朋友博客被入侵了,由于是虚拟空间,所以只有apache访问日志以供分析 这里已经做去敏操作了，以供学习: 链接: https://pan.baidu.com/s/1JUII7_ZOK1SIxnWxlzu0Hw 密码: ...

author:davichi8282 0×00概述 近期在审计HDWiki 6.0最新版cms的时候发现由referer导致的sql注入问题。SQL注入我们知道是由于代码与数据没有严格区别限制分离而导致的问题，OWASP TOP 10常年把S...

0x00 cms简介 云EC电商系统是由一套基于PHP+MYSQL开源的、免费的电商系统软件。支付整合了支付宝三端支付（PC、手机、APP），微信三端支付（PC扫码、微信公众号、APP），银联支付。 模块化设计...

0x00 前记 这里的漏洞分析只挑选了两个觉得有新意的点来说，整个cms肯定还是有很多漏洞，可以说是值得练手的一款cms，并且由于是根据某付费cms二次制作完成，因此市面上这类汽车网源码肯定也是...

比赛有点久远了，大概是9月份举行的，全名叫2018年江苏省网络空间安全保密知识技能大赛，比赛流程是整个上午为awd，下午为靶场渗透。 上午awd打的比较出色，总分是第一，并且保持了0失分，记下...