Week 1 Multi-Headache3 **难度:简单** 使用 dirsearch 扫描目录: !image 找到 /robots.txt,访问: !image 访问 hidden.php: !image 翻译提示,按 F12 打开开发者工具捕获流量包,发现 flag: !image Strange_Login **难度:简单** 经典登录框,万能密码 admin' or 1=1 #: !…
多款 WordPress 主题(如 Bethany、Kasuua、Zingbox 等)的架构、性能基准及优缺点。指出多数主题存在代码臃肿、依赖过重问题,建议机构采用精益高性能栈,避免技术债务。通过对比 Elementor、WPBakery 等不同构建器的影响,强调了代码质量、资源加载策略及长期维护性的重要性。文章建议停止追逐功能堆砌,转而关注基础工程原则,根据项目需求选择合适的主题或模板套件,并进行严格的性能优化。
介绍如何利用 KSWEB 和 Termux 在旧安卓手机上搭建 Typecho 博客环境,并通过 cpolar 内网穿透实现公网访问。步骤包括安装配置 KSWEB 启用 PHP/Apache/MySQL,部署 Typecho 源码,设置数据库,以及通过 Termux 安装 cpolar 客户端创建隧道。最终实现无需公网 IP 即可安全访问本地博客,适合预算有限的个人开发者或数码爱好者利用闲置设备进行低成本建站实践。
通过攻防世界两道 Web 题目演示常见漏洞利用。第一题 Supersqli 为 SQL 注入,在关键字被过滤的情况下,利用堆叠注入结合 handler 语句绕过 select 限制获取 flag。第二题 Warmup 涉及 PHP 文件包含漏洞,通过分析白名单检查逻辑,利用参数顺序和 URL 解码特性绕过验证读取敏感文件。文章总结了堆叠注入、预处理语句替代方案及白名单绕过技巧。
通过四个攻防世界 Web 题目演示常见漏洞利用。包括字符串加密解密逆向、PHP 反序列化绕过__wakeup 与正则过滤、ThinkPHP 框架 RCE 利用以及文件包含伪协议绕过。提供了详细代码审计思路与 Payload 构造方法。
系统梳理 Web 应用基础架构及前后端交互流程,重点讲解 API 在其中的核心作用。内容涵盖 JSON 数据格式、API 调用机制及后端安全防护策略(认证、授权、校验、限流)。同时详细列举了 Web 安全常见漏洞类型,包括 SQL 注入、XSS、CSRF、文件上传/包含、SSRF、越权访问及业务逻辑漏洞,并结合 CTF 实战案例介绍了 PHP 特性、代码执行、命令执行及文件读取等进阶技巧。旨在帮助学习者建立完整的 Web 安全知识体系。
PHP 语言的基础语法,涵盖变量、数组、流程控制、函数及面向对象编程。详细说明了超全局变量在获取 HTTP 请求数据中的应用,并演示了对象序列化与反序列化的过程。内容包含环境配置建议及代码示例,旨在帮助理解 Web 后端开发中的 PHP 基础与安全相关概念。
NSSCTF 及 LitCTF 竞赛中的多道 Web 安全题目解法,涉及 F12 源码分析、SQL 注入、文件包含、命令执行、反序列化、文件上传等漏洞原理与利用技巧,附带具体 Payload 及 Flag 结果。
攻防世界两道 Web 安全题目。Lottery 题利用 PHP 弱类型比较漏洞(==),通过传入布尔值 true 绕过数字验证获取奖金并拿到 Flag。ics-05 题涉及文件包含漏洞,结合 IP 白名单绕过及 preg_replace 函数的/e 修饰符执行系统命令,读取 flag.php 文件获取 Flag。
记录了第五届长城杯 2025 Web 赛道的三道解题思路。第一题通过调试模式指令绕过获取 Flag;第二题利用 tar 解压符号链接特性实现文件上传路径穿越;第三题基于 CVE-2024-2961 漏洞,通过修改 Python 脚本实现从文件包含到远程代码执行的利用。
攻防世界 Web 安全挑战中的两个典型漏洞案例。第一题 Supersqli 展示了在 SQL 注入场景下,当常规关键字如 select 被过滤时,如何利用堆叠注入结合 handler 语句绕过限制获取 flag。第二题 Warmup 涉及 PHP 文件包含漏洞的代码审计,通过分析 checkFile 函数的白名单校验逻辑,利用 URL 编码及路径截断特性绕过检查,实现任意文件读取。文章总结了 SQL 注入绕过技巧与文件包含漏洞的防御思路…
介绍利用旧安卓手机搭建个人博客的方案。通过 KSWEB 在 Android 端提供 PHP、MySQL 和 Apache 运行环境,部署 Typecho 博客系统。为解决仅局域网访问的限制,结合 Termux 安装 cpolar 内网穿透工具,无需公网 IP 即可生成 HTTPS 外网访问地址。教程涵盖软件安装、后台保活设置、数据库配置、隧道创建及固定域名绑定等步骤,帮助闲置设备低成本实现博客上线。
基于 ThinkPHP 和 Laravel 框架设计的 Web 在线考试答题游戏系统。系统采用前后端分离架构,后端使用 PHP 配合 MySQL 存储数据,前端采用 Vue.js 构建交互界面。核心功能包括用户管理、题库管理、随机组卷及自动评分,并结合积分奖励、排行榜等游戏化元素提升用户体验。文章展示了数据库连接等核心代码片段,验证了该技术在复杂 Web 应用中的协同可行性,适合教育机构部署使用。
通过一个 Web 安全案例,演示了如何利用 PHP 的 assert 函数进行代码执行。分析显示,攻击者可以通过 URL 参数控制 assert 执行的命令,进而实现文件读取。最终成功获取到服务器上的 Flag 文件内容,揭示了此类弱口令或逻辑漏洞的危害。
CTFShow Web 入门系列第 21 至 28 题的解题思路与爆破方法。涵盖 Basic Auth 自定义迭代器爆破、MD5 哈希逻辑漏洞、PHP mt_rand 伪随机数种子预测与逆向、AJAX 接口参数分析、身份证号暴力破解及目录扫描等技术点。通过 Burp Suite、Python 脚本及工具辅助,详细演示了从源码审计到实际利用的全过程,帮助读者掌握常见 Web 安全漏洞的挖掘技巧。
对比了 Webman 框架与 Laravel+RoadRunner 的性能表现。基于 TechEmpower 及独立压测数据,Webman 在纯文本、JSON 序列化及数据库查询 QPS 上均显著优于 Laravel+RoadRunner,综合排名进入前 10。架构上,Webman 基于 Workerman 事件驱动模型,内存常驻且无需重复加载容器,而 Laravel+RR 依赖 Go 进程通信及 Worker 池。实测显示 Webma…
通过四个 Web 安全题目演示了常见漏洞原理与利用方法。包括字符串加密解密逆向、PHP 反序列化绕过 wakeup 与正则过滤、ThinkPHP 框架 RCE 利用以及 PHP 伪协议文件包含绕过。重点讲解了 Payload 构造技巧与代码审计思路,帮助理解相关漏洞机制。
一款基于 PHP 开发的三端电商商城系统,支持 H5 网页端、微信小程序端及安卓客户端。运行环境需配置 Nginx、PHP 7.0 及 MySQL 5.7。内容包含系统架构简介,适用于多终端电商业务场景。
系统梳理 Web 应用架构,涵盖前端展示、后端逻辑及 API 交互流程。重点分析了 SQL 注入、XSS、CSRF、文件上传、越权访问等常见漏洞原理与防御策略。结合 CTF 实战题型,讲解了 PHP 特性利用、命令执行绕过及文件包含技巧。强调后端校验的重要性,指出 API 安全需假设请求不可信,通过认证、授权、限流等手段构建纵深防御体系。
复现了极客大挑战 2025 中的六道 Web 安全题目,涵盖文件上传绕过、文件描述符读取、PHP 反序列化链构造、JWT 与 EJS 模板注入、SVG XXE 攻击以及 PHAR 反序列化。详细解析了各题目的漏洞原理、利用步骤及关键代码逻辑,旨在帮助读者理解相关技术点并掌握解题思路。
