@路人甲:

p师傅，想问问你对应届生的选择有什么建议吗？我今年夏天毕业，没拿到什么特别好的offer，但是我希望去到DEFCON，无论是以CTFer还是Speaker，但是以我目前的能力肯定去不了，所以我应该是先选择面包填饱肚子，还是跟着梦想走呢

只是想去DEFCON的话，可以考虑先工作吧（特别是今年受到疫情的影响，很多人手...

@Rayyy:

p神好，我是一只即将毕业的学生狗，想请p神给一些安全开发的学习建议或是学习路线。
之前有前辈分享过对渗透新人的建议，说熟悉了渗透后可以转安全开发方向，我就很迷茫了，不知道渗透能力要怎样才算满足安全开发的要求，某src的前*名？开发能力需要算法、性能调优等？

很少分享安全开放相关的东西，所以可以分享下我的看法。

个人认为安全开发重点还是在开发，安全能力...

@清秋:

p神你好，目前文件上传有白名单限制，除了解析漏洞。还有没有其他的思路

白名单限制通常来说绕过的可能性就不大了，但还是可以从一些逻辑错误的层面来思考思考。主要思考如下几点：...

@！Hello:

想请问p神，我以前都是渗透测试， 才开始研究代码，有必要刷一些几年前的代码题吗 ，以前的代码会过时吗

10年以上就不建...

@Scylla:

p牛，在php中如何利用这个pcntl_exec来执行命令。disable_function漏了这个函数。

首先，要使用pcntl，编译PHP的时候必须加上--enable-pcntl选项。你可以在PHPIN...

@Believe:

星主你好，我想问一下如果遇到这种include("files/$file.php")。通过get传的参，可以绕过吗？。想包含其他路径的1.jpg，我在网上找到说是超过260个字符(比如"."这个字符)就可以截断后面的字符.php，windows最大限制260。但是我测试的时候include报错说是失败的文件名

通常来说遇到这种情况不会继续测试了。PHP老版本可以用...

@不言:

星主，你好，我是一名学生，对于传统漏洞和常见的业务漏洞有一定的学习和了解，但是尝试挖src却力不从心，感觉我所学习到的这些已经不从在了，问：新手如何去进一步去学习探索挖掘src漏洞？

挖SRC需要漏洞细节相关的知识还是较少的，信息搜集比较重要。考虑思考下这些问题：

- 目标公司有哪...

@kais:

请问p神，有没有微信群可以交流，有些问题微信交流更方便

没有微信群，加一...

@^_^:

p神 java代码审计 想学 有没有好的学习路线和资料

阅读版规，擅用...

@唐某:

提问一下p牛，最近在复现vulnhub，在复现GlassFish4.1.0任意文件读取漏洞后，想着getShell，拜读了您的文章之后，我传了做好的war包，访问回显404，我看了您的文章中写到改了jsp马的兼容性，想问一问是我的马没改的缘故，还是其他地方步骤出现了问题，才导致访问不到马
GlassFish 目录穿越漏洞测试过程 | 离别歌

最后不好意思，快要过年了，还在麻烦师傅，也祝p师傅新的一年多收获0day

应该是jsp...