前几天写了那个CSRF防御模块，官网回应较少，看来那里鲜有人把安全放在眼中。。今天干脆封装一个CSRF的模块，加入xsser.me这个平台里，方便以后的渗透。如果你的目标或目标的旁站...

    实话说，以后不想再挖web漏洞了，也不想发这类文章，web的东西搞来搞起就是那个样，我原本就不想深入，想那些大神一样能把一个cms分析得透彻。我有时候只是泛泛地看，泛泛地找一...

在freebuf上莫名地被喷，可能是因为被喷让人气上来了，最后得到的金币比前一篇文章更多。塞翁失马，焉知非福？ 尽管现在呼吁所有的程序都使用unicode编码，所有的网站都使用utf-8编码，来一个统...

    整理一下这些天研究web.py的一些经验，写一篇具有划时代意义的指南性说明~哈哈，开个玩笑，谨以此文献给所有学习web.py的同学以及Aaron Swart.     web.py是一个开...

CRLF Injection很少遇见，这次被我逮住了。我看zone中（http://zone.wooyun.org/content/13323）还有一些同学对于这个漏洞不甚了解，甚至分不清它与CSRF，我详细说一下吧。 CRLF是”回车 + ...

    众所周知，虚拟主机的安全不好做，特别是防止跨站成为了重点。apache+php服务器防止跨站的方式比较简单，网上的所有成熟虚拟主机解决方案都是基于apache的，如directadmin、cpane...

暑假写的文章了，最近博客没干货，发出来娱乐一下。 为了响应爱慕锅（Mramydnei）、撸大师（索马里的海贼）、fd牛（/fd）的号召成立的parsec团队，以及各位老师多年来对我的教育，我要写篇回忆...

首先我代表我们XDCTF主办方对大家说声辛苦了，十一假期本该休息却依旧奋斗在CTF第一线。我是XDCTF2014的出题人之一，也是服务器的维护者之一，关于比赛不想说太多，有太多不可控制的因素。包括...

遇到个有趣的逻辑漏洞，和大家分享一下。  某系统数据库是mysql。user表有个code字段，类型是int(11)，这个字段是保存一个随机数，用来找回密码的时候做验证，默认值是0。  找回密码时候的步...

只会web正好又是php的审计题目，于是就把两道题都做了。大牛们都忙着破各种路由器，破各种设备去了，我也侥幸得了个第一： 第一题，没怎么截图，查看代码如下： 主要是考mysql的一个trick。就...