只会web正好又是php的审计题目，于是就把两道题都做了。大牛们都忙着破各种路由器，破各种设备去了，我也侥幸得了个第一： 第一题，没怎么截图，查看代码如下： 主要是考mysql的一个trick。就...

双十一啥都没买，一没妹纸二没钱，干脆坐电脑前面写代码吧。看到 @阿里云安全 发的微博： 我想，这个简单啊，作为一个忠实的py党，一分钟写了个简单的： 如此如此： 后来想想，我去，不行说...

Tornado模板引擎一直有一个坑，有时候你可能觉得并不影响正常使用，但强迫症就是受不了：模板会去掉每行前后的空格。 最后出来的页面就是这样： 不缩进真的很影响心情的好吧，特别是对一个pyth...

这是我之前提交到新浪应急响应中心的漏洞，因为我看到新浪已经修复了，所以发出来。 最近一直在研究一些flash，希望能发现点什么。 偶然发现这样一个swf：http://vgirl.weibo.com/swf/BlogUp.sw...

一年一度的python小程序编写系列之——断点续传下载软件。 一、HTTP断点续传原理 其实HTTP断点续传原理比较简单，在HTTP数据包中，可以增加Range头，这个头以字节为单位指定请求的范围，来下载...

这是我发在乌云drops的一篇文章：http://drops.wooyun.org/papers/5040。 早前发现boooom在乌云上发了很多个任意文件读取的漏洞，都是形如http://target/../../../../etc/passwd这样。当时感觉...

前言：那天我正在开发网站最关键的部分——XSS过滤器，女神突然来电话说：“那东西好难呀，别开发了，来我家玩吧！”。我“啪”地一下把电话挂了，想让我的网站出XSS漏洞，没门~ python做web开...

最近一直没什么好文章，只有闲下来挖了几个洞。一般挖洞的时候就没法发文章，因为自己提交上去的洞在公开前是不能泄露的。不过这个洞与乌云某大牛的洞重复了，于是我就发出来一起学习一下。不过...

CVE-2015-4024漏洞，据发布时间过去了好几天，我来总结一下。 这个的DOS漏洞炒得很火，百度安全攻防实验室的小伙伴也很给力。我个人认为漏洞的影响确实很大，毕竟对于一个web应用，拒绝服务攻击...

用python + flask + mongodb 开发了一个news类的分享站点：http://wiki.leavesongs.com，我把平时喜欢的文章、待看的文章、看过的文章发到里面，和大家一块学习。 这也是我推出的新的安全知识学...