对XML外部实体注入(XXE)的一点总结

本文基于署名-非商业性使用 4.0 国际 (CC BY-NC 4.0)发布,转载请注明出处。 XXE攻击是针对服务端XML解析器的一种攻击方式。 当服务器解析用户提交的XML文档并且XML解析器未对外部实体做过滤的话就会产生XXE的漏洞。只要被服务端解析的XML是可以被用户控 »

Minty

Padding Oracle Attack

前段时间打的某个ctf里遇到的...由于一些小问题当时并没有做出来... 只是表述一下思路 下文的0x00 == '\x00', 以此类推 #!/usr/bin/ruby require "base64" require "..." »

简单理解DNSSEC与DNSCurve/DNSCrypt

本文基于署名-非商业性使用 4.0 国际 (CC BY-NC 4.0)发布,转载请注明出处。 以下内容是我个人的理解, 如有错误还请大佬指正,非常感谢。 2019-06更新,更正错误 我曾经有过这样的问题,为什么即便域名正确配置了DNSSEC后还能被墙污染呢? 还有既然 »

Minty

Ruby的"pretzel colon"

很久以前读Rails的源码发现了这个很有意思的东西. &:foo 窝一直以为这玩意只是{|item| item.foo}的语法糖而已. 然而今天去查证了一下发现窝当初还是太拿衣服了... 首先之前的断句就有问题= = 我一直以为是&:/foo 然而正确的理 »

Minty