曝光过程 2016年8月11日,有人在seclists上公布了这个漏洞的POC,但是针对的是latest.php这个文件的注入,zabbix官方已经在7月22日发布了补丁,在3.0.4版本进行了修复,但是仅修复了latest.php的注入问题 紧接着8月12日,有人在se...

继续阅读

最近看了看Flask,可是网上的教程全是用SQLite的,自己连接MySQL的时候,把connect URL修改成MySQL的样子,总是不成功。踩了一天的坑之后终于解决了。 MySQL-Python 连接MySQL的话必须要装这个库,通常情况下使用pip install就可...

继续阅读

浅谈CSP

in 安全研究,Web read (1088)

0x00 什么是CSP CSP是内容安全策略,Conetent Security Policy,主要是为了减缓XSS、clickjacking和其他一些代码注入的攻击,目的是尽量使可执行的内容从可信的目标传递过来。说到CSP,就不得不提到另一种web安全模型:同源策略。 0...

继续阅读

XXE二三事

in 安全研究,Web,PHP read (1400)

什么是XXE XXE是XML外部实体注入,详细介绍可以参考OWASP的介绍,https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing 为何一直实验不成功 之前我一直在自己的ubuntu14.04...

继续阅读

原文地址:http://cxsecurity.com/issue/WLB-2015080141 像你所熟知的,chrome处于安全原因,不会执行跨站脚本中的JS代码,并且通过这个方法阻止了很多XSS攻击。假如现在你有一个受XSS影响的PHP代码(chrome.php): &...

继续阅读

好久没有写东西,这篇文章也是第一次投给乌云,赚了点外快,乌云那边已经发出来了,贴到自己博客里吧。 0x00 前言 最近上(ri)网(zhan)上(ri)多了,各种狗啊盾啊看的好心烦,好多蜜汁shell都被杀了,搞的我自己也想开发这么一个斩马刀,顺便当作毕设来做了。 未...

继续阅读

XAMPP虚拟主机设置

in Web read (1078)

把虚拟主机的配置加入/path/to/xampp/apache/conf/extra/httpd-vhost.conf文件中,并在httpd.conf中设置监听响应的端口即可。

继续阅读

lightless

Stay Hungry. Stay Foolish.