几年前，我提交了一个漏洞：几百万机票火车票订单用户名明文密码泄露。邮箱，用户身份证，姓名，密码，手机号等重要字段都可以直接明文读取，当时是利用mongodb数据库的未授权访问脚本，稍加修改，批量扫描后发现的漏洞，有国内多家科技媒体跟进报道，搞的我压力也很大，因为数据没有泄露，只是存在漏洞被我提交到360。这种就属于未能遵循简单基础的安全原则，锅可以由商家背。

XML实体注入漏洞的利用与学习前言XXEInjection即XMLExternalEntityInjection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进行处理时引发的安全问题.在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念.实体可以通过预定义在文档中

关于推荐引擎如今的互联网中，无论是电子商务还是社交网络，对数据挖掘的需求都越来越大了，而推荐引擎正是数据挖掘完美体现；通过分析用户历史行为，将他可能喜欢内容推送给他，能产生相当好的用户体验，这就是推荐引擎。推荐算法Slopeone的原理      首先Slopeone是一种基于项目的协同过

Lynis是一款Unix系统的安全审计以及加固工具，能够进行深层次的安全扫描，其目的是检测潜在的时间并对未来的系统加固提供建议。这款软件会扫描一般系统信息，脆弱软件包以及潜在的错误配置.特征：1.漏洞扫描2.系统加固3.入侵检测4.中心管理5.自定义行为规划6.报告7.安全面板8.持续监测9.技术

0x01最简单的文件上传未进行文件类型和格式做合法性校验，任意文件上传漏洞代码示例：新建一个提供上传文件的 upload.html<html创建上传脚本  upload\_file.php<?php漏洞利用：可上传任意文件!(https://oscimg.oschina.net/oscnet/a

近日fastjson出现反序列化远程代码执行漏洞。天翼云提醒用户：请尽快采取措施进行排查与防护。漏洞描述5月23日，fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险，在特定条件下可绕过默认autoType关闭限制，从而反序列化有安全风险的类，攻击者利用该漏洞可实现在目标机器上的远程代码执行。fastjson是开源JSON解析库，它

这篇文章是关于作者在学习PortSwigger的APITest类型漏洞时的记录和学习笔记

CRISPDM是一个数据挖掘项目规划的开放标准流程框架模型，主要分为业务理解、数据理解、数据准备、建模、评估、部署六个阶段。