Aria2 RPC 的安全性问题
看了一篇关于 Aria2 的文章 Hacking Aria2 RPC Daemon,想起自己以前也有过在服务器上用 root 随手开 Aria2 RPC 下载东西的行为,不禁擦了把冷汗……去 Zoomeye 上搜了下 Aria2,大部分搜到的 RPC Daemon 已经挂了,少部分需要验......

获得目标相关域名的一些方法
渗透特别是刷 SRC 的时候,收集目标相关的域名其实可以说是最重要的了—— 整理好一堆域名往扫描器里一丢,就可以睡个觉等着明天提交啦。据我所知有不少人是拿 WVS 刷洞的,连 WVS 的批量扫描工具 也有了,简直轻松愉快。传统的一些找域名的方法可以看看这篇文章:子域名搜集思路与技巧梳理,......

我的2015
(本来年初的时候就打算写一写总结的,结果拖到了现在…)总的来说,2015 年感觉是大学最忙的一年,也是收获最大的一年。上半年基本上没怎么去上课——每天下午处理下学校的事情,晚上敲代码、看资料到 2、3 点,然后一觉睡到中午。其间还准备了 BAT 的实习面试,翘掉计网的期中考试去武汉参加阿......

在阿里云和乌云的实习经历
六月份期末考完就从学校逃出来,先是在杭州的阿里云打了两个多月的酱油,拥抱变化后跑到北京,在乌云实习了两个月,参与一个新项目的开发,总共折腾了刚好半年,也算是经历丰富吧。阿里云环境在杭州余杭的西溪园区,阿里员工称之为“西厂”,属于比较偏僻的地方(离市区20多公里),不过好在园区内各种配套设......

CI+ES开发的一些坑
最近在开新坑,用的 CI (codeigniter) 写后台, ES (elasticsearch) 当数据库。其实之前用 codeigniter-restserver 写 RESTful API 挺方便的,但是后来把数据库改成 ES 后就各种蛋疼,简单记一下遇到的问题。JSON注意需要......

安全岗位校招面试记录
先来一句话总结:web 狗没人权啊 Orz360本来作为360脑残黑是没考虑过投它的,结果老王说在360有熟人,于是他把我简历直接丢到一个系统安全的团队(主要搞 Linux 内核和 Android 安全),聊了下后对方说会把简历转交给 Web 安全的团队。过了一星期补天的人打电话过来,说......


AIS3 Final CTF Web Writeup
转载自:AIS3 Final CTF Web Writeup (Race Condition & one-byte off SQL Injection)一道纯代码审计的题目,方法很猥琐,脑洞大开,也有实战意义。(想起 XDCTF 2015 上 phith0n 牛出的代码审计题目…… 跪了......


© 2021 | Powered By 岚光 | Theme By Jimmy | Host By oott123