Struts2 Tomcat class.classLoader.resources.dirContext.docBase 赋值造成的DoS及远程代码执行利用! 0x00 背景 最近大家都在玩Struts2的class.classLoader.官方在S-20的两漏洞,一

小米客户资料泄露了吗？ 80safe (人生苦短，我用python!) | 2014-03-30 16:16 今天接到01053799231来电，能准确的叫出我的名字，并知道我买过小米手机

通过网卡MAC地址查询厂商，分析网卡MAC地址，反查硬件设备生产厂商信息，通过网卡MAC地址查询厂商，网卡MAC地址分析，根据网卡MAC地址

树莓派组装的便携式室外安全渗透套件 xnxss | 2014-04-02 17:11 纯手工焊接 刚组装一个 呵呵 献丑了. 直接安装在树莓派上,可以装 kaili 系统,移动电源供电, 分享是一份美德! [

刚想到一种比较猥琐的打内网的方式 xsjswt | 2014-04-02 15:15 盲打下后台，结果发现后台是内网，进不去怎么办。 刚刚看到有人在qq群发了个链接，结果qq神奇的把网页缩

首先请看演示：http://zonewooyun.sinaapp.com/poc/poc.html 帖子链接：http://zone.wooy

网上流畅一个种说法，求见多识广大牛科普 clzzy (南无阿弥陀佛) | 2014-03-31 16:28 某日，某QQ头像闪动，打开一看，是一则广告，大概意思是：只要有身份证就能办信用

XXX之前有提过multipart请求绕过各种WAF方式：360网站宝/安全宝/加速乐及其他类似产品防护绕过缺陷之一，貌似没引起多少人关注。

哪个安卓虚拟机可以抓包的啊？ U神 (在乌云提问就是在成长！) | 2014-03-29 10:32 想玩玩APP，但是这破手机啊~连个代理都没有~ 想知道哪一款安卓虚拟机安装之后

前些天临时写的一脚本级反向代理程序，用法很简单，设置好目标站地址，然后放到你网站根目录：index.asp，再将404页面自定义为：inde

拿下域名有没有办法拿下服务器 Azreal (www.hack2r.com) | 2014-03-27 14:00 RT，有没有好的思路或方法。 [原文地址] 各种吐槽： 1# A11riseforme | 2014-03-27 14:05 和站长说：我有你的域名权限，你拿服务器权限

0x00 背景 在知乎专栏上看到一篇文章《WiFi里的猫腻》，作者继续之前宣传的路由威胁，在互联网上疯传，搞得周围好多不懂的朋友一直问： 路由这么危险，

此刻，看我文章的你，WiFi信号如「摄魂怪」般地在你身体内肆无忌惮地穿梭着，这些信号分布在一些特定的频段上，信号加密传输着，除了「法拉第笼」

黑客讲故事：攻下隔壁女生路由器后，我都做了些什么；无线路由器被蹭网后，入侵女神。 路由器被蹭网后，我有被黑的风险吗？ Evi1m0，来自知道创宇

女黑客Oona，通过分析“直升机现场拍摄警车追捕画面”中的信号声，绘出飞机经纬度坐标、飞行轨迹。 女黑客Oona，2014-02-02，余弦，

0x00 背景 大多数小伙伴们在渗透测试的时候经常需要挂多层代理隐藏行踪，往往采取在较小的成本上达到最大化资源的利用实现多层代理，并且保持较低的网络延

分享 CentOS下shadowsocks一键安装脚本 雨路 (ส็็็็็็ส็็็็็็ส็็็็็็ส็็็็็็ส็็็็็็ส็็็็็

控制了一个域名的dns如何把这个域名搞残废 木易耳朵 | 2014-03-23 09:23 控制了一个域名的dns如何把这个域名搞残废。主要是让百度K站。 [原文地址] 相关吐槽：

求推荐一公司名字…… 核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2014-03-18 13:48 吸引人的，过目难忘的 行业定位：网络科技 [原文地址] 各种

个人还是比较喜欢用bt5或kali上的小工具 hamster and ferret 操作够方便。于是有了把它移植到路由器上的念头。谁还敢蹭我的网？ 效果如下： [原文地址] 2014-4-15 10:17:47 补

谁能解释一下为什么如今的那么多客户端（比如说手机百度之类的） 雅柏菲卡 (万物有灵，切忌污损。。。。。。) | 2014-03-20 17:27 会给比如说百度之类的互联网公司带

  话说伦敦某三十岁大叔因涉嫌访问未经授权的计算机和两项窥阴癖的罪名将在4月14被日审判。 事情的经过是这个样子的： 某美女拜托大叔修完电脑后发现

基于Wordpress Pingback的反追踪思路? N1ghtBird | 2014-03-16 17:50 举个栗子： 在一般钓鱼中会存在个收信服务器， 服务器会暴露钓鱼者的信息。 那么 根据 超过

指纹门控的安全 xsser (十根阳具有长短!!) | 2014-03-18 16:31 这种设备都是直接安装在门口的，直接依靠指纹来进行识别是否授权进入，所以是不是可以下班的时候（不考

from:https://blog.veracode.com/2014/03/guidelines-for-setting-security-headers/ 0x00 背景 在统计了Alexa top 100万网站的header安全分析之后（2012年11月 - 2013年3月 - 2013年11月），我们发现其实如何正

任何开启了Pingback（默认就开启）的WordPress的站点可以被用来做DDOS攻击其它服务器。 看如下日志： 74.86.132.186 - - [09/Mar/2014:11:05:27 -0400] "GET /?4137049=6431829 HTTP/1.0" 403 0 "-" "WordPress/3.8; http://www.mtbgearreview.com"

在官方的文档有这么一端说明： Note a difference between 5.2 and 5.3 versions echo (int)strcmp('pending',array()); will output -1 in PHP 5.2.16 (probably in all versions prior 5.3) but will output 0 in PHP 5.3.3 Of course, you never need to use array as a parameter in string comparisions. 大概意思就是5.3的之前和

有时候要代理进内网，但是服务器没有外网端口，也没法执行命令反弹lcx什么的，也没有提权什么什么的，只有一个webshell，这个时候就比较蛋

9日，美国宣布破获一起惊天巨案，一个跨国黑客犯罪集团通过“黑”进银行预付借记卡系统，在ATM自动取款机上盗取了总计高达4500万美元的巨款，

短信轰炸那些事（如何防止猥琐男如何骚扰妹子） 我是小号 (我是小学生) | 2014-03-08 20:50 0x00 引言 还对这条新闻记忆犹新吗？女子一天收10086近4万条短信几近崩