sherlson

摘要： idea+maven+Struts2的踩坑记录 常见jar说明： struts2-core-2.3.1.1.jar：Struts 2框架的核心类库 xwork-core-2.3.1.1.jar：Command模式框架，WebWork和Struts2都基于xwork ognl-3.0.3.jar：对象 阅读全文

摘要： 本文首发于 https://www.freebuf.com/articles/web/328971.html LFI演化史 图片来源于山石网科冬令营分享截图 LFI介绍 LFI指本地文件包含（Local File Include），本次分享主要讲解PHP方向的LFI。 PHP中的文件包含： incl 阅读全文

摘要： [buu]-n1book-Python里的SSRF 开放8000端口； 路径/api/internal/secret。 访问目标靶机，题目要求一个url参数，因此尝试1进行测试。 由此可知，此处只能请求url，对于其他的不合要求的输入会返回一个empty hostname。根据题目中的tag为SSR 阅读全文

摘要： 目前拿了两个offer，都是安恒信息的，感觉待遇不是特别满意，继续加油 阅读全文

摘要： tk教主的分享 https://sg.weibo.com/user/tombkeeper/4124321099700965 下面的内容都是以作者为第一人称。 分享缘由 一位老师问我当年自学时看的是什么书，想推荐给他的学生。十几年前国内安全方面的书不多，选择余地很小。而且我那时啥都不懂，对书也没什么鉴 阅读全文

摘要： 面试汇总 0x00、安恒信息 安全服务部门 安恒信息 安全服务一面 询问基本情况 询问项目 用什么做弱密码爆破（->burp, 询问相关模块和作用） 存储型xss的常用payload、作用 实战中文件上传的waf怎么绕过 除了蚁剑，还使用过哪些后门连接工具 询问sqlmap的参数以及作用 哪些类型的 阅读全文

摘要： 知识体系扫盲 web安全学习：http://study.hctrah.com/ 狼组知识库 漏洞银行学习路线 阅读全文

摘要： 恐怖的互联网寒冬……一个ali云的大佬被撕了意向，已经意向了快俩星期了。tx某部门也被传疯狂裁人…… 阅读全文

摘要： 分享几个绕过URL跳转限制的思路 本文转载自: t00ls.net 如若转载,请注明出处： https://www.t00ls.net/thread-43001-1-2.html 这些小技巧都是我在漏洞挖掘过程当中实践过的。那些没有实践过的，比如网上也有很多思路，我没有遇到过成功案列我就不再列出来了 阅读全文

摘要： buu-n1book SSRF Training 一道很有意思的SSRF题目，页面超级喜欢(❤ ω ❤) 来到靶场，一个非常可爱的像素风格页面；页面中直接提示了这是一道SSRF的题目。同时页面存在一个可跳转的链接http://7b585460-fca7-426c-9ffa-50346f12559e. 阅读全文