波波的文章

原文出處：http://blog.knownsec.com/2015/11/server-side-template-injection-attack-analysis/ 在2015年的黑帽大會上 James Kettle 講解了《Serv...

讚(0)波波2018-07-04Web Security 閱讀(2067)

原文出處：http://blog.orange.tw/2018/06/google-ctf-2018-quals-web-gcalc.html 上禮拜結束的Google CTF，Orange發表了一篇關於gcalc題目的writeup，題目...

讚(0)波波2018-07-03CTF 閱讀(1112)

原文出處：https://evilwing.me/2018/07/01/ssrf%E6%94%BB%E5%87%BB-%E8%AF%91%E6%96%87/#menu 本文向您介紹伺服器端請求偽造(SSRF)的概念，它是客戶端請求偽造（CS...

讚(0)波波2018-07-01Web Security 閱讀(2491)

原文出處：https://notwhy.github.io/2018/06/sql-injection-fuck-waf/ 簡單對sql注入繞過waf的一個小總結，非安全研究員，這裡不講原理，關於原理蒐集了一些其他大佬的文章（文章在最下面請...

讚(0)波波2018-07-01Web Security 閱讀(1082)

原文出處：https://mp.weixin.qq.com/s/bbEMrUkD5ItQAeiBj4mErw 使用者通過在壓縮檔案中構造包含有特定檔名稱的壓縮檔案時，在進行解壓時，會導致跨目錄任意寫入檔案漏洞的攻擊。進而有可能被Getshe...

讚(0)波波2018-06-30未分類 閱讀(1422)

原文出處：https://xz.aliyun.com/t/2414 在搜資料的時候偶然發現了這麼一種子域名劫持（Subdomain Takeover）漏洞，平時沒遇到過，感覺很有趣，可以利用劫持玩出很多花樣，同樣，HackOne上也有很多例...

讚(0)波波2018-06-28Web Security 閱讀(2087)

原文出處：https://bbs.ichunqiu.com/thread-41965-1-1.html?from=sec Web應用漏洞給企業資訊系統造成了很大的風險。許多web應用程式漏洞是由於web應用程式缺乏對輸入的過濾。簡而言之，W...

讚(0)波波2018-06-27Web Security 閱讀(2054)

原文出處：https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/ 按照文章的意思WordPress 4.9.6尚未修補這個漏洞，攻擊者利用此漏洞可以刪除...

讚(0)波波2018-06-27Web Security 閱讀(891)

原文出處：https://xz.aliyun.com/t/2403 前言 兩次比賽，兩個題目，兩種方式，兩個程序。 一切PHP的代碼終究是要到Zend Engine上走一走的，因此一切P​​HP的源碼加密都是可以被解密的。 （不包括OpCo...

讚(0)波波2018-06-26Web Security 閱讀(1793)

原文出處：https://www.anquanke.com/post/id/147455 GraphQL是由Facebook開發並於2015年公開發布的數據查詢語言。它是REST API的替代品。 雖然你可能很少在網站中看見GraphQL，...

讚(0)波波2018-06-24Web Security 閱讀(1596)