@不言:

星主，你好，我是一名学生，对于传统漏洞和常见的业务漏洞有一定的学习和了解，但是尝试挖src却力不从心，感觉我所学习到的这些已经不从在了，问：新手如何去进一步去学习探索挖掘src漏洞？

@kais:

请问p神，有没有微信群可以交流，有些问题微信交流更方便

@^_^:

p神 java代码审计 想学 有没有好的学习路线和资料

@唐某:

提问一下p牛，最近在复现vulnhub，在复现GlassFish4.1.0任意文件读取漏洞后，想着getShell，拜读了您的文章之后，我传了做好的war包，访问回显404，我看了您的文章中写到改了jsp马的兼容性，想问一问是我的马没改的缘故，还是其他地方步骤出现了问题，才导致访问不到马 GlassFish 目录穿越漏洞测试过程 | 离别歌 最后不好意思，快要过年了，还在麻烦师傅，也祝p师傅新的一年多收获0day

@王磊:

师傅，请教支付逻辑漏洞，下单一个低价格商品时，把商品id（goodsId）替换成高价格的商品id,造成支付漏洞，请问代码的实现是怎么样的？

@entropy:

p神，这几天看了您16年写的，关于通过阻止302跳转实现crlf转xss的文章。实验时发现现在的浏览器已经不会解析iframe里被csp阻止的302返回包的body了，请问现在还有啥办法阻止302实现crlf转xss吗？

@forever:

发现php一处代码sql语句是这样写的 “select * from xs_testabc“.$_GET[‘id’]; 很明显的注入，但是这个xs_testabc开头的表默认是不存在的 测试了很多种办法 回显都是[Err] 1146 - Table 'pay.xs_testabc1' doesn't exist 在表段不存在的情况下请问还有办法注入吗

@天堂向左:

p牛，看了博客的xray介绍的pdf，想问一下那个xray使用交流群能进不

@路人甲:

p牛，最近遇到一个excel xxe 用的 apache poi解析上传的excel文件，Java版本1.8.144 外带不显示内容，支持FTP 等协议（使用ftp能接受到数据包，但是都没内容）只想读数据，有没有遇见过，或者有什么好的办法么。

@路人甲:

最近用uwsgi+nginx 部署一个使用了 websocket 的Django 项目时发现 uwsgi 对这方面好像处理的并不是更好。网上这方面的资料特别少而且乱，师傅有啥推荐吗