为什么最近老是在做代码审计呐？一是想要学习其他优秀开发者的架构和设计模式，二是挖掘一下开发者在开发过程中不严谨之处，作为前车之鉴。有朋友就在问小东，哪儿找到这么多的CMS审计？这里说明一下，因为在代码审计方面还比较菜，只得大面积撒网，找小众的CMS来审计学习，所以就写了一个小爬虫，把CNVD上的CMS列表厂商都给抓下来了。爬虫源码如下：#title:抓取CNVD漏洞CMS厂商列...

[该文章已设置加密，请点击标题输入密码访问]

在我们后期提权的过程中，成功添加账号密码tasklist/svc在输出的内容中查找svchost.exe进程下termservice服务对应的PIDnetstat-ano即可找到PID对应的开放端口，即远程桌面开放端口然后就是一顿提权猛如虎netuserdyboy$admin123456/addnetlocalgroupAdmin...

偶然发现有大佬审计了这款CMS的8.2版本，并且发现了SQL注入漏洞，到官网看了一下，发现源码不大，于是想要重新审计一下，看看是否能够寻找到新的漏洞，顺便学习此CMS的架构的思想0x01简介zzcms,站长招商网cms,适用于招商代理型的行业网站,可用于医药招商网站程序源码,服装招商网站程序源码,化妆品招商网站的程序源码等官网地址：http://www.zzcms.net/这...

今天看了《白帽子讲web安全》一书，顺便记录一下，HttpOnly的设置httponly的设置值为TRUE时，使得Javascript无法获取到该值，有效地防御了XSS打管理员的cookie这里以本博客作为测试对象，实现了一下。找到网站/include/lib/loginauth.php文件，如下修改：这里解释一下：在PHP>5.2版本中支持HttpOnly设置...

这本书一直没时间去看，虽然有电子书但是还是喜欢纸质书本的气息，道哥作品，这本书真的是一本非常经典且非常有深度的一本安全类书籍，给予了我很大的帮助，本篇文章记录一下书中所讲不熟悉之处。安全工程师的核心竞争力不在于他能拥有多少个0day，掌握多少种安全技术，而是在于他对安全理解的深度，以及由此引申的看待安全问题的角度和高度。0x01世界观安全安全三要素机密性、完整性、可用性安全评...

单行文本：overflow:hidden;text-overflow:ellipsis;white-space:nowrap;多行文本：display:-webkit-box;-webkit-box-orient:vertical;-webkit-line-clamp:2;/*设置行数，第二行省略号*/overflow:hidden;文本溢出解决...

很多朋友问我网站PJAX的问题，这里一篇文章来统一解决大家的问题！加入Pjax后，我们的网站可以实现无刷新加载网页，加上一个良好的过度loading动画，这样用户的体验度会更好一些。0x00引入jquery.pjax.js资源在网站的head双标签内加入如下资源引入代码：<scriptsrc="https://api.dyboy.cn/static/js/jq...

首先得添加sshcreateanewrepositoryonthecommandlineecho"#3yan2yuAPP">>README.mdgitinitgitaddREADME.mdgitcommit-m"firstcommit"gitremoteaddorigingit@github.com:dyboy2017/3...

一个在线聊天室APP,使用PHP+MYSQL+MUI实现0x00项目简介：起因：感觉QQ、微信等聊天工具总是对我们的聊天信息进行存储，所以不是很舒服…在学校里学习空余之时写的一款基于MUI的及时聊天APP，对于MUI或PHP的朋友可以学习了解一下。一款用于进行私密信息交流的APP，连接SSL加密传输，信息加密存储，聊天只显示5条信息，可及时彻底删除聊天记录，防止隐私泄漏！...