- 博客(1)
- 资源 (22)
- 收藏
- 关注
原创 lxml库的xxe防御
我最近在审计内部产品的时候发现一处有趣的代码 import lxml.objectify jioc={} ioco = lxml.objectify.parse(filename) root = ioco.getroot() jioc['short_description'] = root.short_description.__str__() 这段代码有xxe漏洞,而且 from ...
2018-07-13 15:07:48 1106
2019年11月最新nessus插件更新包.zip
2019年11月的nessus插件更新包,更新方式:
Nessus离线升级用网页上传插件到远程服务器的方式容易网络中断导致更新不成功,可以把插件包上次到服务器后,
执行/opt/nessus/sbin/nessuscli update 插件包文件路径
2019-11-22
python动态代码审计
kcon议题《python 动态代码审计》,我已经将上面的所提到的技术广泛的用在我自己的工作之中,为我自己节省了大量的时间和精力。并且通过比较多实践,我把一些繁琐的过程和步骤做了简化,也填了大大小小的坑。与此同时,我找到了公司内部产品中出现的大大小小的漏洞,虽然这些漏洞没办法分享出来,但是我希望大家能从我今天分享的议题中学到一些有用的东西。这个议题里面提到的有些技术也可以用到php,go,ruby等语言里面。后续我也会把这个ppt中内容发到我的博客中,如果大家有什么问题和想法,欢迎在csdn上私信我,或者在我的留言板中留言
2018-08-30
2016 SWPU CTF web4
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
2016-10-31
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人