three_feng的博客

1、WAF攻防研究之四个层次Bypass WAF2、小议OAuth 2.0的state参数—从开发角度说《互联网最大规模帐号劫持漏洞即将引爆》

XML 指可扩展标记语言，XML 被设计用来传输和存储数据。XML注入一般指在请求的XML数据中插入攻击利用代码，根据不同的场景，可能会形成以下的漏洞形式： 1、xee  XML Entity Expansion     https://yq.aliyun.com/articles/87232、xxe XXE Injection即XML External E

题目：安全小课堂第6期——信息泄露之配置不当一、    配置不当的分类；二、    配置不当中最严重的类别（哪个类型导致的风险最大）、常见的类别。配置不当的危害。三、    配置不当的防范措施，各公司是否有好的措施分享。流程方面：开发阶段（安全意识、自检）；预上线阶段（检查）；监控方面：上线之后（监控，安全模块等）。四、    圈内是否有检测配置不当的好用的

mysql> select * from user where name='bush'+(select * from (select(sleep(3)))a)+'';

http://blog.youkuaiyun.com/tenfyguo/article/details/6024851

所需环境： 1、maven2、jdk1.6 jdk1.8（默认java环境是1.8，1.6是用于配置下面的toolchains）3、eclipse 一、搭建漏洞环境 下载漏洞示例代码 https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4 解压并使用e

首先看了 http://bobao.360.cn/learning/detail/3574.html  这篇文章，文章把整体的思路都分析得很清楚了，我补充一下自己的调试细节。在处理 multipart 的时候发生了异常，进入 org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest 中的 parse方法的异常处理分支