xxe无回显的情况下，正常的读取无特殊符号文件的时候可以只用常规的file协议来进行读取 参考文章：https://www.leadroyal.cn/?p=914 参考文章：https://www. ...

首发：J8sec 作者：zpchcbd 0x01 站点存在注入 http://xxxxx.net/gl_trans/tran_shuke_1.aspx?id=1059 通过堆查询延迟注入，判断是 ...

自己今天看到了这个工具，感觉挺实用的，尝试学习用法 资产扫描模块 初级用法： Ladon.exe 192.168.1.8/24 OnlinePC(扫当前机器所处C段的存活主机，其它模块同理) ...

DACL自由访问控制列表：对对象持有者控制访问对象，并标明特定的用户，特定的组是否能持有对象。简单一句话就是说，定义哪个用户，或哪个用户所属的组访问该对象的权限。 SACL系统访问控制列表：用来记录 ...

前言：最近在学Mybatis，趁机把Mybatis框架下可能引发的SQL注入来过一遍，加深理解 Mybatis传递数据有两种方式，一种是#{}，还有一种是${}，而#{}基本能防止SQL注入，但是某 ...

前言：对之前的https://www.cnblogs.com/zpchcbd/p/12374668.html再进行学习一次 参考文章：https://3gstudent.github.io/3gst ...