【全球动态】1.教育部将发起教育 App 专项清理行动教育部、网信办和工信部等公布了《关于引导规范教育移动互联网应用有序健康发展的意见》，宣布将发起教育 App 专项清理行动：首先是备案，然后...

前言 随着数据库参数化查询的方式越来越普遍，SQL注入漏洞较之于以前也大大减少，而PDO作为php中最典型的预编译查询方式，使用越来越广泛。 众所周知，PDO是php中防止SQL注入最好的方式，...

在H2数据库引擎中获取代码执行权限的技术早已是众所周知，但有个要求就是H2能够动态编译Java代码。而本文将向大家展示以前没有公开过的利用H2的方法，并且无需使用Java编译器，即通过原生库和JN...

*严正声明：本文仅限于技术讨论与分享，严禁用于非法途径暴力破解是指使用穷举法，举出所有的可能的结果，然后逐一验证是否正确！ Low1.尝试通过sql注入直接绕过验证直接就提示成功了，这是...

BOtB（Break out the Box）是一款容器分析和漏洞利用工具，其主要是为渗透测试人员和工程师所设计的。 它可以为我们做什么？ BOtB是一个CLI工具，你可以执行以下操作： 利用常见的容器...

下载地址https://download.vulnhub.com/persistence/persistence-1.0.tgz 实战演练查找靶机的IP查看靶机开放的端口浏览器打开80端口只是显示一张图片，爆破一下web目录，找到了一个debug页面打...

下载地址https://download.vulnhub.com/flick/flick.tar.gz 实战演练查找靶机的IP查看靶机开放的端口只有两个端口是开放的。在端口22上使用SSH，在端口8881上使用其他服务。我使用netcat首先查...

最近小白一直在学习代码审计，对于我这个没有代码审计的菜鸟来说确实是一件无比艰难的事情。但是着恰恰应了一句老话：万事开头难。但是小白我会坚持下去。何况现在已经喜欢上了代码审计，下面呢...

前言 在编写代码时，常常需要为不同的判断执行不同的动作，if 条件判断语句可以用来实现此功能。然而这么一个再平常不过的条件判断语句，如果使用不当，也可能成为漏洞的产生点。在 WordPres...

引言 最近两年ST2-OGNL方面的漏洞已经渐渐淡出大家的视线，但我觉得作为曾经红极一时的经典系列RCE漏洞，对于ST2和OGNL有一个深入的认知对于代码审计和漏洞挖掘者是十分重要的，所以这篇文章...