@路人甲:

师傅那里招php java主要做啥工作内容呀

@路人甲:

ph师傅可以跟新跟新php安全吗？还有代码审计技巧和如何调试吗

@路人甲:

工业和信息化部网络安全威胁和漏洞信息共享平台星球之后会不会也关了？

@gungnir:

p牛，最近在学习PHP的一些东西，对于一个中文的字符串，在进行截取时，我选择把字符串像数组一样取值，可是对于php中UTF-8编码，中文字符是占3个字节，事情变得复杂了起来。 我在定义了一个$arr的中文字符串后，echo $arr[1]，在我看来应该是乱码，但是他的结果是“前”这个字， 然后我试过别的语句后，再回来试echo $arr[1]，它这次结果又变成了空白， 之后又经过了一些别的语句，再重新试这个echo $arr[1]，这次又变成了一个特殊字符（为什么我要说经过一些一些语句，是因为如果连续的执行这样相同的语句时，它的结果不会变，只有在有其他语句被执行时，而且其他语句也要与这个字符串发生关系，它的结果就会改变）（甚至有时候echo$arr[2]也能输出“前”这个字符） 而当我用while语句，想把整个字符串打印下来的时候，在while($arr[$I])语句里面echo（$arr[$i]）的时候，是可以把整个字符串输出的 这里面php对于中文字符串的处理，飘忽不定，我看了好几天也没看出来名堂，也差了很多资料，实在搞不明白了，求助p牛，只能上传一张图片，我不知道我有没有表述清楚我的问题

@蓝翼:

想请教一下xray是如何判断404页面的 最近写一个目录扫码工具的时候发现很多奇葩的404页面完全处理不过来。 现在我的程序是想请求一个不存在html页面，然后计算出长度。最后请求一个页面后判断长度是否相等，是的话就认为是404页面。 但是有两种情况，目前处理不了。 1.一种是thinkphp那种 xxx控制器不存在，404中包含你的请求参数。每个404页面长度都是不一样的。 2.还有一种你请求html是一个404页面，请求php后缀是另一种404页面

@路人甲:

p牛，咨询一下，phpggc laravel那七条pop链里面，rce5和rce6差别很少，rce6那个MessageBag类的作用是啥嘞。

@会上树的猪:

p师傅，在hashmap的readobject方法中，反序列化URL对象的时候，里面的handler属性是如何获取值的？序列化的时候是一个transient属性不会被序列化，然后普通调用的时候是通过构造方法赋值的。那么在URLdns整个构造链中，对这个handler属性是在哪一步重新赋值的(即变成URLStreamHandler的对象)？也调试了一下URL类的readobject，但是没有发现直接对handler进行赋值的操作。所以这一个小地方比较疑惑。

图片

@路人甲:

p师傅，根据您多年代码审计的经验来看，代码审计能力强了，会不会更有利于挖掘各公司的漏洞？毕竟代码审计对漏洞形成的原理了解的更透彻。

@路人甲:

P神，您好呀，关于那个xstream最近刚出的漏洞(CVE-2021-21351)复现的问题，我是跟着XStream远程代码执行漏洞复现(CVE-2021-21351) - Hunter-0x07's ...这个大牛师傅做的但是我这没复现成功，我的jdk版本是1.8.0_201，然后idea回显与博主也是一样的，然后命令行就到send那一步就没了，不知道是版本问题还是poc问题？所以想请教一下您，不知道这个提问符不符合规范，如不符合还请谅解，我还是个新手小白，谢谢您。

@冒牌高富帅:

p师傅你好，想问一下对于组件类的源码，你平时代码审计的时候是如何做威胁建模的？比如我在看javamail组件，是一个发送接收邮件的组件。