搜索精彩内容
包含"SCAP"的全部内容
XDCTF2014 部分Writeup
首先我代表我们XDCTF主办方对大家说声辛苦了,十一假期本该休息却依旧奋斗在CTF第一线。我是XDCTF2014的出题人之一,也是服务器的维护者之一,关于比赛不想说太多,有太多不可控制的因素。包括...
XCTF两道web题目的writeup
只会web正好又是php的审计题目,于是就把两道题都做了。大牛们都忙着破各种路由器,破各种设备去了,我也侥幸得了个第一: 第一题,没怎么截图,查看代码如下: 主要是考mysql的一个trick。就...
[CVE-2014-8959] phpmyadmin任意文件包含漏洞分析
首发360播报:http://bobao.360.cn/learning/detail/113.html 最近写的文章比较喜欢投递到各大平台,一是能赚点学费养家糊口,二是提高一下原创性。我发现如果文章发到一些社区或直接发博客,知...
Tornado模板对空白字符的处理与解决方案
Tornado模板引擎一直有一个坑,有时候你可能觉得并不影响正常使用,但强迫症就是受不了:模板会去掉每行前后的空格。 最后出来的页面就是这样: 不缩进真的很影响心情的好吧,特别是对一个pyth...
ngx_lua_waf针对性改写
当初选择ngx_lua_waf作为自己的WAF,主要原因就是因为其可扩展性与性能上有一个很好的平衡。 lua语言的灵活性与效率是很多脚本层WAF无可匹及的。 ngx_lua_waf自身是比较简单的,而且存在很多误...
node.js + postgres 从注入到Getshell
(最近你们可能会看到我发很多陈年漏洞的分析,其实这些漏洞刚出来我就想写,不过是没时间,拖延拖延,但该做的事迟早要做的,共勉) Postgres是现在用的比较多的数据库,包括我自己的博客,数...
攻击LNMP架构Web应用的几个小Tricks
农历新年初一,我在代码审计知识星球分享了一个红包,但领取红包的条件是破解我出的一道代码审计相关题目,题干如下: 2018.mhz.pw:62231 0x01 拉取源码 题干比较简单,我们用浏览器打开,发...
谈escapeshellarg绕过与参数注入漏洞
参数注入漏洞是指,在执行命令的时候,用户控制了命令中的某个参数,并通过一些危险的参数功能,达成攻击的目的。 0x01 从gitlist 0.6.0远程命令执行漏洞说起 我们从gitlist说起,gitlist是一款...
BCEL ClassLoader去哪了
com.sun.org.apache.bcel.internal.util.ClassLoader是常常在构造漏洞利用POC时用到的类。但是,我前几天在写《Java安全漫谈》的时候,偶然发现我环境中的com.sun.org.apache.bcel.internal.uti...