0x00 背景本文来自于《Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters》其中的bypass xss...
系统文档
HTML5 Audio时代的MIDI音乐文件播放
大家都知道,HTML5 Audio标签能够支持wav, webm, mp3, ogg, acc等格式,但是有个很重要的音乐文件格式midi(扩展名mid)却在各大浏览器中都没有内置的支持,因为mid文...
漏洞分享
Oracle数据库漏洞分析:CVE-2012-1675和CVE-2012-3137
摘要 一般性的数据库漏洞,都是在成功连接或登录数据库后实现入侵;本文介绍两个在2012年暴露的Oracle漏洞,通过这两种漏洞的结合,可以在不掌握用户名/密码的情况下入侵Orac...
Oracle Database Server ‘TNS Listener’远程数据投毒漏洞(CVE-2012-1675)的完美解决方法,tnscve-2012-1675
环境:Windows 2008 R2 + Oracle 10.2.0.3应用最新bundle patch后,扫描依然报出漏洞 Oracle Database Server 'TNS Liste...
Python
virtualenv — python虚拟沙盒(linux版本)
有人说:virtualenv、fabric 和 pip 是 pythoneer 的三大神器。不管认不认同,至少要先认识一下,pip现在倒是经常用到,virtualenv第一次听说,不过,总得尝试一下吧...
virtualenv–python虚拟沙盒的安装使用
作为一个有志于成为pythoner的程序员,现在才开始使用virtualenv真是一件非常羞耻的事情。事情是这样的,原本我将所有的东西一股脑的都安装到根目录的site-packages里面,于是每次使...
风土人情
"大爷大妈,我们借球场打会儿球呗?""滚!"
耐心点,点开视频耐心点, 让你惊喜的过程让你惊呆的画面! 河南王城公园篮球场被跳广场舞的占据, 大爷大妈不听打球人的解释大打出手! 好好的篮球场让你跳了广场! 不仅收费还要打人!有王法? ...
漏洞分享
Spring framework(cve-2010-1622)漏洞利用指南
摘要这个漏洞在2010年出的,当时由于环境问题,并没有找到稳定利用的EXP。作者对spring mvc框架不熟悉,很多地方不了解,结果研究了一半,证明了漏洞的部分严重性就放下了,没有弄出POC来。最近...
Mybatis框架下SQL注入漏洞修复建议
1. 模糊查询like SQL注入修复建议按照新闻标题对新闻进行模糊查询,可将SQL查询语句设计如下:select * from news where tile like concat(‘%...
Mybatis框架下易产生SQL注入漏洞场景分析
在基于Mybatis框架的Java白盒代码审计工作中,通常将着手点定位在Mybatis的配置文件中。通过查看这些与数据库交互的配置文件来确定SQL语句中是否存在拼接情况,进而确立跟踪点。通过总结,My...
