hdwiki某处对referer未做过滤，造成sql注入     但因为没有输出点，只能做盲注。     基于时间的盲注脚本已写好，测试可注入...

在freebuf上莫名地被喷，可能是因为被喷让人气上来了，最后得到的金币比前一篇文章更多。塞翁失马，焉知非福？ 尽管现在呼吁所有的程序都使用unicode编码，所有的网站都使用utf-8编码，来一个统...

    大赛进行了两天，大起大落有，丧失信心也有，但最后还是挺过来了。多亏了给力的队友，blink和test，最后拿到了西北赛区的第二名。     简单叙述一下整个过程吧，顺...

    整理一下这些天研究web.py的一些经验，写一篇具有划时代意义的指南性说明~哈哈，开个玩笑，谨以此文献给所有学习web.py的同学以及Aaron Swart.     web.py是一个开...

    实话说我标题党了，这只是一个小tip，不能算漏洞（因为我想swart就是这样设计的）。不过文档中似乎没有把这个说出来，我想如果有一千万分之一的概率被程序员这样写了，...

    众所周知，虚拟主机的安全不好做，特别是防止跨站成为了重点。apache+php服务器防止跨站的方式比较简单，网上的所有成熟虚拟主机解决方案都是基于apache的，如directadmin、cpane...

只会web正好又是php的审计题目，于是就把两道题都做了。大牛们都忙着破各种路由器，破各种设备去了，我也侥幸得了个第一： 第一题，没怎么截图，查看代码如下： 主要是考mysql的一个trick。就...

首发360播报：http://bobao.360.cn/learning/detail/113.html 最近写的文章比较喜欢投递到各大平台，一是能赚点学费养家糊口，二是提高一下原创性。我发现如果文章发到一些社区或直接发博客，知...

收假啦，收假啦，一篇文首发drops：http://drops.wooyun.org/tips/4482 今天看到zone里有同学发帖说了探测支付宝登录状态的帖子：http://zone.wooyun.org/content/17665 由此我想到了我们parsec...

看到360官微在微博上说了， http://www.jiathis.com/code/swf/m.swf 存在XSS漏洞，可以导致使用了JiaThis的任意网站产生漏洞。得到这个线索，我们来开始顺藤摸瓜，对这个XSS的原理与利用方法进...