web安全共63篇
PHP伪协议的妙用-BUG之家

PHP伪协议的妙用

filter协议的简单利用:php://filter是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用。
bashNC反弹-BUG之家

bashNC反弹

shell是一种解释器,将我们输入到命令行的命令解释给系统内核,而bash是shell的一种,Linux系统默认采用的shell就是bash。
总结常见漏洞的代码审计方法-BUG之家

总结常见漏洞的代码审计方法

这篇文章主要是总结一下在安全工作中常见漏洞的代码审计方法,以及修复方案,希望能对初学代码审计小伙伴们有所帮助。
Django SQL注入漏洞分析复现(CVE-2021-35042)-BUG之家

Django SQL注入漏洞分析复现(CVE-2021-35042)

一、漏洞详情 Django是Python Web中最流行的几个框架之一。Django中QuerySet数据合集的order_by函数存在SQL注入漏洞。如果攻击者可以控制order_by传入的值,那么就可以注入恶意SQL语句造成SQL...
Nginx越界读取缓存漏洞(CVE-2017-7529)-BUG之家

Nginx越界读取缓存漏洞(CVE-2017-7529)

1、Nginx反向代理 正向代理:代理服务器位于客户机与服务器之间;当客户机想访问服务器主机时,需要先设置代理,然后请求被发送到代理服务器,由代理服务器转发给服务器主机,服务器主机再把请...
edusrc 0day挖掘技巧-BUG之家

edusrc 0day挖掘技巧

由外到内的一次渗透 Ps:最近在项目中屡屡受挫,于是又开始回到了edu玩玩,随机找了一所学校,于是开始了渗透之旅 (对于edu想上分的同学有两种方式:1.挖通用2.定点打击学校,全部日穿。此文...
WebLogic XMLDecoder反序列化漏洞详细分析-BUG之家

WebLogic XMLDecoder反序列化漏洞详细分析

前言 最近挖洞过程中,发现了一些反序列化的问题,然后然后呢。。。发现貌似智慧挖掘反序列化的漏洞。
【安全新闻】老生常谈的无字母数字 Webshell 总结-BUG之家

【安全新闻】老生常谈的无字母数字 Webshell 总结

代码确实是限制了我们的 Webshell 不能出现任何字母和数字,但是并没有限制除了字母和数字以外的其他字符。
GKCTF X DASCTF应急挑战杯 MISC 0.03-BUG之家

GKCTF X DASCTF应急挑战杯 MISC 0.03

GKCTF X DASCTF应急挑战杯 MISC 0.03
web实战详解篇-BUG之家

web实战详解篇

记录一次web实战,值得收藏!