一年一度的python小程序编写系列之——断点续传下载软件。 一、HTTP断点续传原理 其实HTTP断点续传原理比较简单，在HTTP数据包中，可以增加Range头，这个头以字节为单位指定请求的范围，来下载...

看到360官微在微博上说了， http://www.jiathis.com/code/swf/m.swf 存在XSS漏洞，可以导致使用了JiaThis的任意网站产生漏洞。得到这个线索，我们来开始顺藤摸瓜，对这个XSS的原理与利用方法进...

Wordpress这个XSS实际上是很好用的，匿名用户即可发表并触发，这里给出简单的分析与稳定的好触发的POC。 其实漏洞的作者已经在文章（https://cedricvb.be/post/wordpress-stored-xss-vulnerabil...

CVE-2015-4024漏洞，据发布时间过去了好几天，我来总结一下。 这个的DOS漏洞炒得很火，百度安全攻防实验室的小伙伴也很给力。我个人认为漏洞的影响确实很大，毕竟对于一个web应用，拒绝服务攻击...

Pwnhub在8月12日举办了第一次线下沙龙，我也出了两道Web相关的题目，其中涉及好几个知识点，这里说一下。 题目《国家保卫者》 国家保卫者是一道MISC题目，题干： Phith0n作为一个国家保卫者，...

农历新年初一，我在代码审计知识星球分享了一个红包，但领取红包的条件是破解我出的一道代码审计相关题目，题干如下： 2018.mhz.pw:62231 0x01 拉取源码 题干比较简单，我们用浏览器打开，发...

参数注入漏洞是指，在执行命令的时候，用户控制了命令中的某个参数，并通过一些危险的参数功能，达成攻击的目的。 0x01 从gitlist 0.6.0远程命令执行漏洞说起 我们从gitlist说起，gitlist是一款...

这是一个非常漂亮的漏洞链，很久没见过了。 我用docker来复现并学习这个漏洞，官方提供了docker镜像，vulhub也会上线这个环境。 漏洞一、 逻辑错误导致权限绕过 这是本漏洞链的导火索，其出现在...

事先声明：本次测试过程完全处于本地或授权环境，仅供学习与参考，不存在未授权测试过程。本文提到的漏洞《MinIO未授权SSRF漏洞（CVE-2021-21287）》已经修复，也请读者勿使用该漏洞进行未授权...

日常使用软件的过程中，偶尔会遇到软件突然卡住，再点击几次就变成“未响应”的情况。 在JavaFX应用中同样也会出现这种情况，在开发过程中应该尽量避免这种情况的出现。 >> 更多JavaFX文...