显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

水水

那些星星点点的微芒,终会成为燃烧生命的熊熊之光

 
 
 
 
 
 
 
 

[置顶] 如果 —— 拉迪亚德-吉卜林

2012-8-24 11:17:46 阅读194 评论1 242012/08 Aug24

  If — Rudyard Kipling
  If you can keep your head when all about you
  Are losing theirs and blaming it on you;

  If you can trust yourself when all men doubt you,
  But make allowance for their doubting too;

  If you can wait and not be tired by waiting,
  Or, being lied about, don't deal in lies,
  Or, being hated, don't give way to hating,

作者  | 2012-8-24 11:17:46 | 阅读(194) |评论(1) | 阅读全文>>

[置顶] 关于光棍节程序员闯关秀

2012-11-30 15:20:57 阅读2044 评论0 302012/11 Nov30

The day

当我把地址给同事们玩时就被喊奥特曼了...的确,时至今日才瞧见,太out了。

只能到第八关了;谷歌之找到图解。觉得当真玩起来,的确要花点功夫。


游戏思路还是很赞的,深入浅出吧,做下收藏~

光棍节程序员闯关秀过关全攻略。程序员的寂寞谁能懂?"SF光棍节程序员闯关秀"智力挑战小游戏火热上线,看看你能闯到第几关? 
游戏地址: 

作者  | 2012-11-30 15:20:57 | 阅读(2044) |评论(0) | 阅读全文>>

一次逗逼的手注

2016-10-24 21:36:29 阅读72 评论0 242016/10 Oct24


一、因 waf屏蔽关键词陷入困境
http://xxxx/newsview.php
?id=-17+/**//**//*!uNiOn*//**//**//*!sElEcT*//**//**/NULL,table_name/**//*!FRoM*//**/(/*!sElEcT*//**/group_concat(table_name) as table_name as table_name/**//*!FRom*/

作者  | 2016-10-24 21:36:29 | 阅读(72) |评论(0) | 阅读全文>>

一次未遂的代码审计之SQL注入

2016-8-20 18:42:54 阅读41 评论0 202016/08 Aug20

挺久没码文章了,刚好最近接了一些代码审计的工作,那就抖一下身上的菜叶子来码一篇吧,还是要沉淀一些东西呀。

这次代码审计 [静态] 因为是未遂的,所以只提供如何从代码审计的角度去定位到具体的web接口路径,只提供思路,没别的。
————————————————
匹配到mybatis配置中有拼接情况

作者  | 2016-8-20 18:42:54 | 阅读(41) |评论(0) | 阅读全文>>

富文本XSS防护 antisamy 一处缺陷导致漏洞重生

2016-3-4 17:31:29 阅读50 评论0 42016/03 Mar4

有阵子没写文章了,不能老习惯同步笔记还是要沉淀一下做做分享~

相信不少富文本业务采用的是这个antisamy 来防御XSS的。
有这么一种情况:
你的富文本 内容后端并没有做长度上的限制;
你的antisamy 并没有修改其 [默认] 长度配置;

作者  | 2016-3-4 17:31:29 | 阅读(50) |评论(0) | 阅读全文>>

Redis CrackIT攻击事件

2015-11-13 14:35:56 阅读25 评论0 132015/11 Nov13

nosec:事件分析
http://static.nosec.org/download/redis_crackit_v1.1.pdf

作者  | 2015-11-13 14:35:56 | 阅读(25) |评论(0) | 阅读全文>>

[后记]百度全系APP - WormHole虫洞

2015-11-3 10:43:50 阅读71 评论0 32015/11 Nov3

分析:http://drops.wooyun.org/papers/10061

据细节,安装有此" 后门"的百度app或有使该sdk的会开启 40310/6259 端口

百度全系APP SDK漏洞 - WormHole虫洞漏洞 - vfeng - 水水

内网试玩

作者  | 2015-11-3 10:43:50 | 阅读(71) |评论(0) | 阅读全文>>

weblogic SSRF/XSS

2015-10-30 16:46:06 阅读132 评论0 302015/10 Oct30

CVE-2014-4210 SSRF (SearchPublicRegistries.jsp)
先测试下
http://xxxxAAAxxxx/uddiexplorer/SearchPublicRegistries.jsp?operator=http://jd.com&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search
weblogic.uddi.client.structures.exception.XML_SoapException: Received a response from url:

作者  | 2015-10-30 16:46:06 | 阅读(132) |评论(0) | 阅读全文>>

一个比较有意思的XSS

2015-10-29 11:17:01 阅读53 评论0 292015/10 Oct29

这个漏洞是在前阵子工作中遇到的,之前还未遇到这种思路。发出来记录下,刚好挺久没码文章了。

漏洞出现在我厂的威客服务-个人案例处。不废话,先看图1
一个比较有意思的XSS - 黑猫警长 - 水水

作者  | 2015-10-29 11:17:01 | 阅读(53) |评论(0) | 阅读全文>>

查看所有日志>>

 
 
 
 
 
 

日志分类

 
 
日志分类列表加载中...
 
 
 
 
 
 
 
模块内容加载中...
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016

注册 登录  
 加关注