Cobra是一款源代码安全审计工具,支持检测多种开发语言源代码中的大部分显著的安全问题和漏洞。
Node.js 学习笔记 && CVE-2017-16082 分析
CVE-2018-17030挖掘
0x01 前言
这次挖洞其实并不是冲着拿CVE去的,而是为了给HITB-XCTF GSEC CTF Singapore 2018出题。因为是国际赛,想着题目应该要有点难度,所以就打算出个小型CMS的0day挖掘题。之所以选上BigTree CMS,也只是因为这是学(吴)长(神)挖过的CMS。不过因为是后台漏洞,比赛过程中还是出现了各种各样的非预期状况(各种搅屎),可以说是非常失败了Orz……
继续阅读“CVE-2018-17030挖掘”
XSS bot 初体验
如今CTF的XSS题目很多都是由XSS bot自动Check的,所以我也对XSS bot的原理有了兴趣,初略的学习了一下
初学Padding Oracle Attack
0x01 简介
Padding Oracle Attack是一种针对CBC模式分组加密算法的攻击。它可以在不知道密钥(key)的情况下,通过对padding bytes的尝试,还原明文,或者构造出任意明文的密文。