整理一下这些天研究web.py的一些经验，写一篇具有划时代意义的指南性说明~哈哈，开个玩笑，谨以此文献给所有学习web.py的同学以及Aaron Swart.     web.py是一个开...

CRLF Injection很少遇见，这次被我逮住了。我看zone中（http://zone.wooyun.org/content/13323）还有一些同学对于这个漏洞不甚了解，甚至分不清它与CSRF，我详细说一下吧。 CRLF是”回车 + ...

这篇文章是前段时间从某群中学到的姿势，我分享出来~ 在XSS的时候，有时候有的过滤器很变态，会过滤很多特殊符号和关键词，比如&、(、)、#、'、'，特别是&和括号，少了的话payload很难...

首先我代表我们XDCTF主办方对大家说声辛苦了，十一假期本该休息却依旧奋斗在CTF第一线。我是XDCTF2014的出题人之一，也是服务器的维护者之一，关于比赛不想说太多，有太多不可控制的因素。包括...

    网上的webshell总结起来有一些缺陷：     1.兼容性差，当某函数禁用后，该功能就不能用了。其实php是个很灵活的语言，很多功能是可以有很多实现方式的。   ...

无意中看到了这篇文章：http://www.freebuf.com/articles/system/49428.html 对于下面我莫名其妙中枪的事。。。我就不多说了： 于是我详细地把文章看了一遍，文章比较基础但也不失为一个引导新...

首发360播报：http://bobao.360.cn/learning/detail/113.html 最近写的文章比较喜欢投递到各大平台，一是能赚点学费养家糊口，二是提高一下原创性。我发现如果文章发到一些社区或直接发博客，知...

腾讯已经修复了，所以我发出来，贵在挖掘与分析过程。 可盗取skey与uin全浏览器通用不会被拦截。 挖掘flashxss的时候偶然发现的，反编译的时候发现这样的URL： show.qq.com 属于QQ秀主站业务。...

收假啦，收假啦，一篇文首发drops：http://drops.wooyun.org/tips/4482 今天看到zone里有同学发帖说了探测支付宝登录状态的帖子：http://zone.wooyun.org/content/17665 由此我想到了我们parsec...

这是我之前提交到新浪应急响应中心的漏洞，因为我看到新浪已经修复了，所以发出来。 最近一直在研究一些flash，希望能发现点什么。 偶然发现这样一个swf：http://vgirl.weibo.com/swf/BlogUp.sw...