最近热衷于刷twitter，各种大牛的东西让我应接不暇，感觉确实新有干货，前几天看到Yosuke发状态了：          是发的一个DOMParser处理、...

首先我代表我们XDCTF主办方对大家说声辛苦了，十一假期本该休息却依旧奋斗在CTF第一线。我是XDCTF2014的出题人之一，也是服务器的维护者之一，关于比赛不想说太多，有太多不可控制的因素。包括...

    网上的webshell总结起来有一些缺陷：     1.兼容性差，当某函数禁用后，该功能就不能用了。其实php是个很灵活的语言，很多功能是可以有很多实现方式的。   ...

腾讯已经修复了，所以我发出来，贵在挖掘与分析过程。 可盗取skey与uin全浏览器通用不会被拦截。 挖掘flashxss的时候偶然发现的，反编译的时候发现这样的URL： show.qq.com 属于QQ秀主站业务。...

这是我之前提交到新浪应急响应中心的漏洞，因为我看到新浪已经修复了，所以发出来。 最近一直在研究一些flash，希望能发现点什么。 偶然发现这样一个swf：http://vgirl.weibo.com/swf/BlogUp.sw...

这是前段时间发现的一个漏洞，可能又让一些人深恶痛绝了，见谅。自从当年自己那个gnuboard getshell被晾了半年捂烂了以后，感觉国外的洞还是提交了吧，捂在手里也没用，还能维护世界和平。 中间...

除了之前MK发布的一个bypass方法外（https://twitter.com/avlidienbrunn/status/486059626002395136），大牛们也陆续想出来一些针对性的绕过方法。我说的这个出自：http://www.thespanner.co.uk...

前两天和izy一起研究了一个他发现的新浪微博XSS，触发位置在微博ipad版中。 Izy发现，当我们通过第三方APP“快手”，将信息分享到微博时，信息内容就会造成一个XSS。当用户在ipad版微博客户端上...

看到360官微在微博上说了， http://www.jiathis.com/code/swf/m.swf 存在XSS漏洞，可以导致使用了JiaThis的任意网站产生漏洞。得到这个线索，我们来开始顺藤摸瓜，对这个XSS的原理与利用方法进...

这是我根据Tod Beardsley在metsaploit上发表的一篇文章，翻译+测试完成的分析，因为最近在研究浏览器漏洞，所以会更加关注浏览器这块。 前段时间，二哥在很多浏览器中将脚本层面的漏洞提升为远...