搜索精彩内容
包含"python"的全部内容
python富文本XSS过滤器
前言:那天我正在开发网站最关键的部分——XSS过滤器,女神突然来电话说:“那东西好难呀,别开发了,来我家玩吧!”。我“啪”地一下把电话挂了,想让我的网站出XSS漏洞,没门~ python做web开...
cmseasy最新注入+360webscan的绕过分析
最近一直没什么好文章,只有闲下来挖了几个洞。一般挖洞的时候就没法发文章,因为自己提交上去的洞在公开前是不能泄露的。不过这个洞与乌云某大牛的洞重复了,于是我就发出来一起学习一下。不过...
emlog绕过验证码刷评论
最近博客常常被人刷评论,最狠的一次被刷了10000多广告。 先看看评论验证码是怎么检查的。 emlog/include/controller/comment_controller.php,先获得$imgcode: <?php $imgcode = isset($_P...
Sec-News | 新的安全知识学习方式
用python + flask + mongodb 开发了一个news类的分享站点:http://wiki.leavesongs.com,我把平时喜欢的文章、待看的文章、看过的文章发到里面,和大家一块学习。 这也是我推出的新的安全知识学...
ThinkPHP留后门技巧
90sec上有人问,我说了还有小白不会用。去年我审计TP的时候留意到的,干脆分析一下代码和操作过程。 thinkphp的I函数,是其处理输入的函数,一般用法为I('get.id')——从$_GET数组中取出键为id...
emlog自动备份插件泄露整站数据库备份漏洞
这是我第三次在自己博客里找到致命漏洞了。第一次是一个第三方存储,解决方案是删了。第二次是'EMLOG相册',也就是这篇文章:https://www.leavesongs.com/PENETRATION/emlog-important-plugin-g...
重构Sec-News之路
不知道什么时候突然发现我已经稳定运行了近半年的sec-news(http://wiki.ioin.in)突然变得特别慢,为跳转效率我也是尝试了很多方法,比如加缓存。我使用了一个叫flask-cache的缓存: https://p...
浏览器安全一 / Chrome XSS Auditor bypass
私藏比较久的干货,严禁转载。 (2017-08-14 更新,chrome57更新了xss auditor的拦截方式,之前的大量payload不能用了) Universal Bypass 5 最新版 Chrome 60 context == null test: http://m...
新型php漏洞挖掘之debug导致的安全漏洞(Edusoho)
【过年了,每天发一篇以前的存货,一共七篇。】 现代cms框架(laraval/symfony/slim)的出现,导致现今的php漏洞出现点、原理、利用方法,发生了一些变化,这个系列希望可以总结一下自己挖掘的...
使用Let's Encrypt保护你的数据包
【过年了,每天发一篇以前的存货,一共七篇。】 Let's Encrypt是去年底推出的一个免费SSL证书,且申请这个证书基本没有任何限制,只要你证明你是域名的所有者,你就可以为你的域名申请一个SSL证...