@尘埃:

想问一下大佬，如下问题： 受限环境中 如何通过端口号找到对应的进程pid 受限环境： 1. netstat 无 -p参数 2. 无lsof命令 3. 无ss命令

图片

@路人甲:

请问p师傅，今天你分享的这个工具帖子里说可以用sourcemap来review代码，有相关的教程吗？谢谢🙏

图片

@Enough.:

p🐮,我遇到一个xss问题,在测试一套exe系统的时候,他内嵌了一个miniblink浏览器,我可以在返回内容里面插入xss,但是F12查看所有非他官方域名的URL都会提示black list,网上搜了一圈也没找到关于Miniblink是否可以设置白名单网页的文章,或者说这种情况还能绕过url限制吗

@anlan:

p牛，最近想学习tomcat的漏洞复现，买了一本《深入剖析tomcat》的书，把书上的demo都实现了一遍。我在阅读tomcat4或5版本的时候，代码的逻辑还能缕清楚。 但是想要复现cve-2020-1938的时候，就搞不清楚代码的执行逻辑了，感觉非常混乱。 p牛，我想知道你是如何审计这种大型程序的源码？

@CCLH:

我有个问题想问师傅们。你们用过正版的burpsuite吗？用burpsuite扫到漏洞是否跟正版盗版有关系呢？

@笑忘洛神:

请问p神。在php7下， 漏洞函数为readfile($url)； 但是限制了开头为http://，请问还能使用gopher协议攻击redis3版本吗？ 测试readfile重定向不支持gopher协议

@张振峰:

有没有国外开源的java cms，想审计学习下，能推荐几个吗？

@Mr.Lee:

大佬，在网上看了你的一批关于zabbix sso单点登录认证绕过的漏洞分析，我在复现的时候搭建sso认证服务器的失败了，大佬有搭建环境的过程嘛

@路人甲:

p牛您好~ 请问php审计和java审计有没有什么关联捏，听别的师傅说php审计很厉害了才能去做java审计……那么我这种新人该怎么开始审计之旅捏？ 我是刚入行的新人，对审计很感兴趣……但是在此之前不是后端程序员出身，大学期间多半在刷算法，不知道在审计这块学习路线是怎样的~望指点😆

@abcd:

p神，你昨天晚上分享的那个rmi工具，提到了这个 - 绕过localhost限制来执行bind、unbind等写入操作（CVE-2019-2684） 翻了一下好像没找到哪里有对这个cve的相关分析，不知道是不是没找到，师傅有看到过吗

图片