曝光过程2016年8月11日,有人在seclists上公布了这个漏洞的POC,但是针对的是latest.php这个文件的注入,zabbix官方已经在7月22日发布了补丁,在3.0.4版本进行了修复,但是仅修复了latest.php的注入问题紧接着8月12日,有人在secli...

继续阅读

最近看了看Flask,可是网上的教程全是用SQLite的,自己连接MySQL的时候,把connect URL修改成MySQL的样子,总是不成功。踩了一天的坑之后终于解决了。MySQL-Python连接MySQL的话必须要装这个库,通常情况下使用pip install就可以了...

继续阅读

浅谈CSP

in Web,安全研究 read (9242)

0x00 什么是CSPCSP是内容安全策略,Conetent Security Policy,主要是为了减缓XSS、clickjacking和其他一些代码注入的攻击,目的是尽量使可执行的内容从可信的目标传递过来。说到CSP,就不得不提到另一种web安全模型:同源策略。0x0...

继续阅读

XXE二三事

in Web,安全研究,PHP read (8225)

什么是XXEXXE是XML外部实体注入,详细介绍可以参考OWASP的介绍,https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing为何一直实验不成功之前我一直在自己的ubuntu14.04+ln...

继续阅读

原文地址:http://cxsecurity.com/issue/WLB-2015080141像你所熟知的,chrome处于安全原因,不会执行跨站脚本中的JS代码,并且通过这个方法阻止了很多XSS攻击。假如现在你有一个受XSS影响的PHP代码(chrome.php):<...

继续阅读

好久没有写东西,这篇文章也是第一次投给乌云,赚了点外快,乌云那边已经发出来了,贴到自己博客里吧。0x00 前言最近上(ri)网(zhan)上(ri)多了,各种狗啊盾啊看的好心烦,好多蜜汁shell都被杀了,搞的我自己也想开发这么一个斩马刀,顺便当作毕设来做了。未知攻,焉知防...

继续阅读

XAMPP虚拟主机设置

in Web read (3947)

把虚拟主机的配置加入/path/to/xampp/apache/conf/extra/httpd-vhost.conf文件中,并在httpd.conf中设置监听响应的端口即可。

继续阅读

lightless

弱小和无知不是生存障碍,傲慢才是。