BlBana's BlackHouse.

BlBana's BlackHouse.

Dare to Think, Dare to Do, Dare to Fail

Python安全编码——SQL注入

好久也没写过博客了,最近审计做的比较多,打算开个新坑,主要还是安全编码的问题,经常开发让修洞的时候,反问一句怎么修 ?乍得这么一问,还真有点一脸懵逼,还是收集一下常见的漏洞修复方案,以及一些安全SDK吧,今天讲讲Python SQL注入问题,都9012了还有人拼接SQL。。。是ORM不好用吗,还是SQL学的太好了。。

SQLi —— 逗号,空格,字段名过滤突破

SQLi-——-逗号,空格,字段名过滤突破

在做CTF的时候,遇到了一道SQL注入的题目,发现空格,逗号都被过滤掉了,空格被过滤有很多种方法可以绕过,但是逗号被过滤掉,最后在参考了V师傅的blog以后把题做了出来

Struts2远程命令执行漏洞

S2-045 Struts2远程命令执行漏洞

0x01 stucts

Struts是Apache基金会的一个开源项目,Struts通过采用Java Servlet/JSP技术,实现了基于Java EE Web应用的Model-View-Controller(MVC)设计模式的应用框架,是MVC经典设计模式中的一个经典产品。

Pwnhub外传第一关总结

Pwnhub 又一个要被黑掉的网站(总结)

今天晚上pwnhub又放了一道新题,和小伙伴一起来做,发现自己脑洞还是不够大欸,一根筋了,虽然没有做出来,但是已经离正确的答案不远了,哈哈~一道题让我学到了不少知识点,现在来总结一下。

论如何修改Win10密码

一次坑爹的密码被改经历

如今我也是有故事的人了。前天晚上我们在实验室搞到一点多用完电脑直接关机,和友友们一起出去撸了个串,回宿舍就睡了,等我第二天用电脑的时候,开机输入密码,提示错误,还以为是手滑,我一个一个重新的输入,卧槽!!!还是不对,试了十几遍…MD密码被改了!!!坑爹了…电脑上重要的东西不能重装系统,赶紧查资料把密码改了回来…(醉了欸,成功登上电脑后还分析了一波日志,进程之类的,看看是什么情况…)

Mysql宽字节注入

现在大多数的网站对于SQL注入都做了一定的方法,例如使用一些Mysql中转义的函数addslashes,mysql_real_escape_string,mysql_escape_string等,还有一种是配置magic_quote_gpc,不过PHP高版本已经移除此功能。其实这些函数就是为了过滤用户输入的一些数据,对特殊的字符加上反斜杠“\”进行转义,这里讨论一下利用宽字节注入绕过这些函数。

Wordpress迁移hexo踩坑指南

最近看到了不少基于github pages的hexo上的blog,作为强迫症晚期的我,心动了…… 这意味着踩坑之路即将开始,刚好可以学习一下git,github的使用,顺便熟悉一下nodeJS这种Web开发网站的搭建方法,虽然道路曲折,但是收获颇多啊,现在来捋一捋这两天我踩的坑。

avatar
BlBana
Always on the way