by ·127,870 views | 3 Comments

WordPress 双连发存储通杀 XSS 就这样爆爆爆!可惜之余,说下:

  1. 这种字符集不一致导致的问题会是个普遍问题,不仅是导致 XSS;
  2. 要完美通杀或 IE 通杀得理解 CSS 导致的一些本质特性;
  3. 截断问题真是个可爱问题;
  4. WordPress 的过滤机制真可爱;
  5. 我们团队的应急真赞;

具体链接:
https://cedricvb.be/post/wordpress-stored-xss-vulnerability-4-1-2/

Continue reading

by ·22,106 views | 3 Comments

去年这个时候,ZoomEye 的第一次大战役,我带队通宵应急,隐约觉得这一定会载入史册,现在看来当时的努力是对的。昨天团队再次通宵为了把细节做得尽可能的好,这次我没带队,因为他们已经成熟了,公司的硬件设施还不错,再加上一个美女慰问师,那些后勤问题都可以很好解决了…

我们上线了心脏出血一周年专题,如下:

http://www.zoomeye.org/lab/heartbleed/2015

最后还放出的1000只「绵羊」,也许有争议,也许继续这样冷淡下去。

对了,如果你想加入 ZoomEye Team,可以简历投给我:[email protected],我一定可以让你感受那种心跳:)

by ·30,933 views | 1 Comment

最近在玩一加,按照 Kali NetHunter 的官方说明打造一部名副其实的黑客手机,已经进入实战测试,当然有的时候玩这个不一定手机合适,比如本地跑字典时,某些场景下有个高性能服务器当然最好:)

感兴趣的同学可以围观:

http://zhuanlan.zhihu.com/evilcos/19961466

这个专栏链接将持续更新,如果顺利的话,每周末会写一篇,按照我「偷懒」的风格。

目前已经有三篇了。

Think, then Do:)

另外,博客换了个服务器,目前看来还不错。