Python作为新一代的web开发语言，不少互联网公司内外网使用其开发站点。Python web周边还存在redis、memcached、mongod、supervisord等等服务，我们结合这些服务的一系列安全问题，将可以做很多...

php://filter是PHP中独有的协议，利用这个协议可以创造很多“妙用”，本文说几个有意思的点，剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的，没想到被三个白帽...

当我站在山顶上俯瞰半个鼓浪屿和整个厦门的夜空的时候，我知道此次出行的目的已经完成了，我要开始收拾行李，明天早上离开这里。 前几天有人问我，大学四年结束了，你也不说点什么？乌云发生了...

看到微博上coding发了一个文章，https://coding.net/u/tvvocold/pp/125176 ，这个玩法比较老了，但可能还是有不少人不知道。大概一年前，在某个曾经很火的白帽子社区，有个白帽子的签名是他的博...

开源组件是我们大家平时开发的时候必不可少的工具，所谓『不要重复造轮子』的原因也是因为，大量封装好的组件我们在开发中可以直接调用，减少了重复开发的工作量。 开源组件和开源程序也有一些...

今天看了 https://hackerone.com/reports/26647 有感。这个漏洞很漂亮，另外让我联想到很多之前自己挖过的漏洞和写过的程序，有感而发。 Django已经在昨天修复了该漏洞 https://www.djangoproj...

0x01 SSRF漏洞常见防御手法及绕过方法 SSRF是一种常见的Web漏洞，通常存在于需要请求外部内容的逻辑中，比如本地化网络图片、XML解析时的外部实体注入、软件的离线下载等。当攻击者传入一个未经...

随便写点东西吧。 Django的Class based view十分好用，也很灵活。其中DeleteView（ https://docs.djangoproject.com/en/1.10/ref/class-based-views/generic-editing/ ）有点特别蛋疼的，他理...

小介绍：Mooder是一款开源、安全、简洁、强大的（安全）团队内部知识分享平台，基于Django、全封闭保证私密性、支持Markdown、支持Postgres/Mysql/Sqlite等多种数据库、支持Docker-compose一键...

Pwnhub 是一个面向安全研究人员的CTF对战平台，更官方一点的解释就是一个以各种安全技术为内容的竞赛平台。经过我们团队数个月的酝酿终于上线了。上线伊始，我出了一道Web题目，名字叫Classroom...