作者：Adog 原文链接：https://xianzhi.aliyun.com/forum/topic/1717/ 全国研究生信息安全与对抗技术竞赛（ISCC：Information Security and Countermeasures Contest，www.isclab.org.cn）是为...

* 本文作者：shadow4u，本文属FreeBuf原创奖励计划，未经许可禁止转载 一年一度的Burpsuite过期的时间又到了，Burpsuite作为Web安全者必不可少的一件神器，其实有很多实用的技巧，本篇文章的目...

代码审计顾名思义就是检查源代码中的缺点和错误信息，分析并找到这些问题引发的安全漏洞，并提供代码修订措施和建议。 PHP代码审计 审计套路 通读全文法          (麻烦，但是最全面) 敏...

原文链接：传送门 虽然是复现文章，不过会更详细地来阐释这个漏洞，，因为现在后台getshell花样层出不穷，因此想要复现一波来学习一波getshell姿势~ 因为是最新的dedecms版本，因此我们直接在织...

0x01. 背景 好久没写文章了，来写一篇水文。2016年对自己最大的愿望就是养成看书的习惯，改掉以前只买书不看书的“坏习惯”。2016年看的第一本书是Seay法师的代码审计的书。还记得当程序员时的...

照着前辈大佬的审计过程走了一遍，，还是很有收获的！代码是几年以前的，，而且也没有用到MVC框架，整个来说也不是很复杂，但是对于java入门，，我觉得够用了！ 下载地址：http://down.chinaz.c...

这两天想着锻炼一下自己的编程能力，所以想结合实际情景写出一个python脚本，这个实际场景就是在平时进行渗透测试的时候，我们首先会做信息的搜集，这块肯定就少不了子域名的搜集。 子域名的搜...

author:cdxy PWNHUB 一道盲注题过滤了常规的sleep和benchmark函数，引发对时间盲注中延时方法的思考。 延时函数 mysql> select sleep(5); +----------+ | sleep(5) ...

author:KBdancer 前言 博主从小就是一个喜欢把事情简单化的男人，但是现实总是在不经意间给你太多的惊喜，比如不停的搬家。 博主从大学毕业到现在前前后后凑足了10次搬家运动，终于在第10次搬家...

上次去参加BCTF，第一道AWD题目就是Flask的SSTI漏洞，当时由于不熟悉Flask框架，，所以一开始没意识到这是模板命令注入的漏洞，，直到抓到别人的流量才知道了payload，，回来之后好好学了下Flas...