前言Metasploit是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，代码审计，Web应用程序扫描，社会工程。团队合作，在Metasploit和综合报告提出了他们的发现。(来自百度百科)总之是一款非常优秀的开源渗透测试框架。安装Metasploit本文只讨论在Linux系统下的安装,包括Ubuntu、Centos、Deepin等,读者可以直接安装Kali操作系统,上面

0x01此漏洞形成是由于未对Referer的值进行过滤，首先导致SQL注入，其次导致任意代码执行。0x02payload：554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:110:"/unionselect1,0x27202f2a,3,4,5,6,7,8,

ifweknowsomeuser'semail,thewewillcanresettheuser'semailbyhostheaderattack.如果我们知道了某个注册用户的邮箱，那么我们就能够通过头注入的方式重置任意用户的密码。所以这个漏洞的攻击前提是在于用户必须要绑定邮箱，且我们知道这个用户的邮箱。正常的找回密码

目前我知道的加密方式，公钥私钥方式加密强度最大，注意升级openssl组件，修复心脏出血漏洞http://php.net/manual/en/function.opensslpublicencrypt.php(https://www.oschina.net/action/GoToLink?urlhttp%3A%2F%2Fphp.net%2Fma

原文链接：Struts22.2和2.3版本最新漏洞(https://www.oschina.net/action/GoToLink?urlhttps%3A%2F%2Fwww.blogchina.cn%2Fliuzaiqingshan%2Fhome%2F10%2F1488956570591)据最新消息，Struts22.2到2.3.3

乌云博客上看了篇文章，flashplayer又报漏洞：http://drops.wooyun.org/papers/9784(https://www.oschina.net/action/GoToLink?urlhttp%3A%2F%2Fdrops.wooyun.org%2Fpapers%2F9784)然后发现360的软件管家压根不是同步

跟随着互联网的全面发展，API这一词频繁出现在大家的视线之中，什么是API呢？API全称ApplicationProgrammingInterface，翻译出来叫做“应用程序接口”，是一些预先定义的接口（如函数、HTTP接口），或指软件系统不同组成部分衔接的约定。用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程，而又无需访问源码，或理解内部

先看这一段简单的代码<?phpsession\_start();$\_SESSION\‘isadmin’\’yes’;$isadmin’no’;echo$\_SESSION\‘isadmin’\;?当php.ini里配置register\_globalsOff时，没任何问题，输出yes但是当php.

!(https://oscimg.oschina.net/oscnet/b6a1e272d19c4fcdad84673e48dee661.jpg)Java技术栈www.javastack.cn关注阅读更多优质文章(https://www.oschina.net/action/GoToLink?urlhttp

文件上传漏洞通常指应用对用户上传的文件没有完善的检验，允许攻击者通过Web应用程序上传恶意文件到服务器，然后通过这些恶意文件来进行执行任意代码，在客户端影响用户等攻击