你尚未登录
未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。 加入『代码审计』知识星球即可查看所有内容。
开年了,继续 #解读phpinfo# 。
上次因为Hitcon ctf的原因,我们开始说Session。那么,回到根本,Session究竟是什么?
HTTP是一个无状态的协议,一个用户访问多......
图片
zephir是一个编写PHP扩展的开源项目,和传统使用C语言写扩展不同,zephir可以允许用户用PHP语法编写代码,最后通过内部的一些编码器转换成C语言,然后再编译成动态链接库。
phalco......
(由于知识星球错误的转义方式,导致文章很多标签出错,我导出了一个pdf,可以更好阅读)
在测试上传漏洞的时候,经常遇到上传上去的文件不解析的情况,或者限制了不允许上传php或jsp等文件。#有......
图片
附件
(接着上个帖子,说说大家还遇到过类似的“看似没什么价值却真实存在利用场景的安全问题”)
我曾遇到过这么一个案例。某领域网站,其评论系统有提醒功能,在有评论或回复的情况下会给相关......
图片
最近Django修复了一个漏洞CVE-2019-3498,我看安全客上很多人对此嗤之以鼻 生活中处处都有CVE——CVE-2019-3498 Django 404页面漏洞浅谈 - 安全客,安........
图片
JNDI注入新姿势:
Exploiting JNDI Injections in Java | Veracode blog
即使目标通过升级jdk到最新版而无法加载远......
最早学Web安全的时候考虑过一件事:用户输入的内容,是在入库前进行HTML编码,还是显示在前端的时候再HTML编码?
当时这两种方案都有一些拥簇。比如ThinkPHP 3就在入库前编码,如果你......