最新消息:

2015年06月的内容

Thinkphp脆弱性总结四
学习探索

Thinkphp脆弱性总结四

pang0lin 2年前 (2015-06-11) 607浏览 0评论

这个问题其实应该从前段时间Th1nk发的mongodb注入说起,http://drops.wooyun.org/tips/3939,其中提到了mongodb一种注入方式: 然后parsec团队里前段时间也在讨论这个问题,究竟这个漏洞是php的...

Thinkphp脆弱性总结三
学习探索

Thinkphp脆弱性总结三

pang0lin 2年前 (2015-06-11) 725浏览 0评论

很多人天真的以为,使用了框架提供的数据库查询方法,不再进行SQL语句拼接,就能完美避免SQL注入。那么你就错了,有时候框架反而成为带你进入陷阱的人。 我们翻开最新版thinkphp框架文档,其中的“表达式查询”章节:http://document....

Thinkphp脆弱性总结二
学习探索

Thinkphp脆弱性总结二

pang0lin 2年前 (2015-06-11) 602浏览 0评论

首先我们来看看官方文档: http://document.thinkphp.cn/manual_3_2.html#model_instance 这里主要介绍了模型实例化的一些方法 终点介绍了D方法和M方法的使用 D方法实例化 code 区域 &...

Thinkphp框架脆弱性总结一
学习探索

Thinkphp框架脆弱性总结一

pang0lin 2年前 (2015-06-11) 1150浏览 0评论

从ThinkPHP谈基于框架开发程序的安全性,以ThinkPHP,ThinkSNS,大米CMS等为例 之前在看ThinkPHP开发手册的时候看到这个: code 区域 <code>字符串方式 字符串方式条件即以字符串的方式将条件...

换个思路,对某培训机构进行一次YD的社工检测
渗透测试

换个思路,对某培训机构进行一次YD的社工检测

pang0lin 2年前 (2015-06-11) 750浏览 0评论

前段时间有个奇怪的培训机构过来我们学校要搞个什么信息安全比赛,问了绿盟的一个朋友,听都没听过有家这样的安全公司,于是我小小 的调戏了一下,期间的故事是颠簸起伏,于是就有了这次YD的检测。本文只是讲解渗透思路和技巧,部分技术实现细节将略过,有兴趣可以...