Aesop_secret附件是一个疯狂跳动的gif，感觉有一点点像二维码，用ps修改后发现是 ISCC? 比赛的名称，这 用010查看gif， 最后一段看起来像极了base64，/+.. 这...

pdf从前有个人没有钱冲vip，然后他拿到的pdf的图片文件无法编辑，他以为要把图片提取出来，后面发现只要pdf转word，就可以把图片移开，就能看见flag 分享一些奇怪的小技巧1.pdf用p...

前言今天是距离我看完视频的第n天，对，一题都没写到现在 做题当复习了，不叨了，写题了，写题了 misc1-隐写属性.jpg 提示写在文件名上了都，鼠标右击，找到属性， 既然flag是英文，...

前言insecure CAPTCHA，翻译过来是不安全的验证码。CAPTCHA是Completely Automated Public Turing Test to Tell Computers...

low我进入靶场，点了个提交 不对，然后我换成了success 无效的token，那有效的会是什么 抓包看一下token 也就是说提交的token是一样的，看了源代码发现是md5加密，拿...

XSS跨站脚本攻击（XSS），是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶...

前言CSP 指的是内容安全策略，为了缓解很大一部分潜在的跨站脚本(XSS) 问题，浏览器的扩展程序系统引入了内容安全策略（CSP）的一般概念。通过引入一些相当严格的策略使扩展程序在默认情况下更加...

前言weak session， 弱对话 如果会话 ID 可以计算或很容易猜到的话，通常只需要，这样攻击者就可以利用知道会话 ID 轻松地访问用户帐户，而不必强行使用密码或发现其他漏洞，如跨站点脚...

file inclusion文件包含是指当服务器开启allow_url_include选项时，就可以通过php的某些特性函数（include()，require()和include_once()...