程序员开发的过程中，可能会将一些常量写死在程序中，比如说加密算法的私钥。这将导致程序部署后，攻击者可以使用该常量生成密文或对加密数据进行破译

今天继续学习 CodeQL，看了楼兰师傅的《CodeQL与XRay联动实现黑白盒双重校验》有所启发，既然可以使用 Python 调用 codeql-cli 进行查询，那么肯定可以

今天蜜罐之神来问我一个 asp 文件的问题，说是有上传点和源码，确定有漏洞，但是不知道怎么构造 Payload。刚好跟京东客服小姐姐退货完，就下载了源

今天抽空学了一下 Golang 中的插件机制，感觉可以将 Exp 作为一个一个插件，用一套统一的约束开发插件，再利用管理程序加载它们来实现更加完善的检测和利用。 这

这几天参与到了攻防演练后端的开发项目，项目进入到最终部署阶段，由于是前后端分离的项目，所以对 nginx 的反向代理进行了学习。发现了 nginx.conf 配置文件中 access.log 字段