基于镜像流量的漏洞挖掘思路

背景 通过Cobra扫描内部SSRF的时候,发现还是存在漏报的情况。 漏报的主要问题是Cobra扫到的某个漏洞(V),而这个漏洞会有多处(N)调用,所以只要这个漏洞(V)不修复,它的影响就会是V*N。 举个例子,Cobra对于SSRF在PHP语言下的漏洞发现检测是通过匹配可能出现问题的两个函数。 file_get_contetns() curl_init() 这两个函数的入参都是一个URL类型,Cobra接着反查这个URL是否可控,如果发现这个URL是触发点所在的函数(F)入参传进来的话,就认为是风险。 »

卡丁车漂移技巧

晚上和一群黑客们去城北汽车城开卡丁车。 哪些黑客? 别问了,来不及解释,快上车! 虽然是第一次玩卡丁车,但请记住技巧: 油门全程踩到底, 使用刹车来降速, 转弯极打方向盘, 保证你会多一圈。 地址:杭州汽车城C馆7F 价格:每张票80可玩6分钟(大约5圈) »

为什么坚持那么难?

上周有个网友在我的坛子里问: 坚持为什么那么难? 每次发愿一定要做成一件事,却很容易被环境影响,三天打鱼两天晒网,最后总是不了了之。 经历的反反复复多了,就对自己特别灰心,失望,再也没有信心去完成下一步愿望。 感觉特别迷茫,没有方向,明知道对的路径,却怎么也走不过去。 其实,很多人都会有这样的体会,包括你眼中那些非常“优秀”的人。 涨工资的速度都赶不上通货膨胀的速度,明明每天都很忙,工作很多年了,处境和人生轨道还是没有什么明显的起色。 除了越来越老,一切似乎都和几年前一样。 一样的辛劳、 »