CodeQL 挖掘 linglong 中常量参数引发的安全问题 Bingan 发布于 2022-04-18程序员开发的过程中,可能会将一些常量写死在程序中,比如说加密算法的私钥。这将导致程序部署后,攻击者可以使用该常量生成密文或对加密数据进行破译
关于使用 Codeql 进行自动化审计的一点想法 Bingan 发布于 2022-04-17今天继续学习 CodeQL,看了楼兰师傅的《CodeQL与XRay联动实现黑白盒双重校验》有所启发,既然可以使用 Python 调用 codeql-cli 进行查询,那么肯定可以
记一次简单的 ASP 双文件上传绕过 Bingan 发布于 2022-04-14今天蜜罐之神来问我一个 asp 文件的问题,说是有上传点和源码,确定有漏洞,但是不知道怎么构造 Payload。刚好跟京东客服小姐姐退货完,就下载了源
Golang 实现插件化 Exp Bingan 发布于 2022-04-02今天抽空学了一下 Golang 中的插件机制,感觉可以将 Exp 作为一个一个插件,用一套统一的约束开发插件,再利用管理程序加载它们来实现更加完善的检测和利用。 这
Nginx access.log 获取详细客户端请求 Bingan 发布于 2022-04-01这几天参与到了攻防演练后端的开发项目,项目进入到最终部署阶段,由于是前后端分离的项目,所以对 nginx 的反向代理进行了学习。发现了 nginx.conf 配置文件中 access.log 字段
Clash for Windows XSS RCE 分析 Bingan 发布于 2022-02-26突然爆出了 Clash for Windows 的 XSS 远程命令执行漏洞,刚好有空,简单分析一下。