摘要： 刚上课的时候走神，脑袋里多出了一些胡思乱想，这儿记下这些胡思乱想和大家讨论。 什么是传递？攻击具有传递性么？ a>b,b>c => a>c 这是数学上的传递，飞鸽传书，烽火传讯是信息的传递，心里学上也有传递性的推理，那么攻击可不可以传递呢。 “水坑”攻击模式 a. 目标常访问的网站 b. 目标网站 c.目标人 a存在一个储存性xss，b有个反射性xss 目标人 -----> a -------> b -------> payload 通过a的传递使得攻击更加隐蔽，是不是感觉一种超强“跨域”效果 案例：WooYun: 手把手教你劫持李开复的腾讯微博 我把 阅读全文

摘要： ============敏感文件读取================WINDOWS下:c:/boot.ini //查看系统版本c:/windows/php.ini //php配置信息c:/windows/my.ini //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码 c:/winnt/php.ini c:/winnt/my.ini c:\mysql\data\mysql\user.MYD //存储了mysql.user表中的数据库连接密码 c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini //存储了虚拟主机网站路径和密. 阅读全文