实话说我标题党了，这只是一个小tip，不能算漏洞（因为我想swart就是这样设计的）。不过文档中似乎没有把这个说出来，我想如果有一千万分之一的概率被程序员这样写了，...

首先我代表我们XDCTF主办方对大家说声辛苦了，十一假期本该休息却依旧奋斗在CTF第一线。我是XDCTF2014的出题人之一，也是服务器的维护者之一，关于比赛不想说太多，有太多不可控制的因素。包括...

双十一啥都没买，一没妹纸二没钱，干脆坐电脑前面写代码吧。看到 @阿里云安全 发的微博： 我想，这个简单啊，作为一个忠实的py党，一分钟写了个简单的： 如此如此： 后来想想，我去，不行说...

Tornado模板引擎一直有一个坑，有时候你可能觉得并不影响正常使用，但强迫症就是受不了：模板会去掉每行前后的空格。 最后出来的页面就是这样： 不缩进真的很影响心情的好吧，特别是对一个pyth...

收假啦，收假啦，一篇文首发drops：http://drops.wooyun.org/tips/4482 今天看到zone里有同学发帖说了探测支付宝登录状态的帖子：http://zone.wooyun.org/content/17665 由此我想到了我们parsec...

一年一度的python小程序编写系列之——断点续传下载软件。 一、HTTP断点续传原理 其实HTTP断点续传原理比较简单，在HTTP数据包中，可以增加Range头，这个头以字节为单位指定请求的范围，来下载...

这是我发在乌云drops的一篇文章：http://drops.wooyun.org/papers/5040。 早前发现boooom在乌云上发了很多个任意文件读取的漏洞，都是形如http://target/../../../../etc/passwd这样。当时感觉...

前两天和izy一起研究了一个他发现的新浪微博XSS，触发位置在微博ipad版中。 Izy发现，当我们通过第三方APP“快手”，将信息分享到微博时，信息内容就会造成一个XSS。当用户在ipad版微博客户端上...

看到360官微在微博上说了， http://www.jiathis.com/code/swf/m.swf 存在XSS漏洞，可以导致使用了JiaThis的任意网站产生漏洞。得到这个线索，我们来开始顺藤摸瓜，对这个XSS的原理与利用方法进...

这是我根据Tod Beardsley在metsaploit上发表的一篇文章，翻译+测试完成的分析，因为最近在研究浏览器漏洞，所以会更加关注浏览器这块。 前段时间，二哥在很多浏览器中将脚本层面的漏洞提升为远...