核心代码：publicstaticStringexecCurl(Stringcmds){ProcessBuilderprocessnewProcessBuilder(cmds);Processp;try{p

01文件上传漏洞原理在文件上传的功能处，若服务端脚本语言未对上传的文件进行严格验证和过滤，导致恶意用户上传恶意的脚本文件时，就有可能获取执行服务端命令的能力，这就是文件上传漏洞。02文件上传漏洞触发点相册、头像上传、视频、照片分享、附件上传（论坛发帖、邮箱

因为写入的文件名包含特殊符号，所以该漏洞只能在Linux中写入webshell，不能在Windows系统写入。这个漏洞的重点在于体会ThinkPHP的反序列化利用链。演示环境：Kali、ThinkPHP/5.0.24演示代码：application/index/controller/Index.php<?p

!(https://oscimg.oschina.net/oscnet/d6487d851222a6c88d21ce45bc1952b914e.png)前面两篇文章介绍了jenkinspipeline的基础和实践的一些模板语法，Jenkins2.XScriptPipeline语法基础(https://www.oschina.net

SSH远程管理SSH（SecureShell）是一种安全通道协议，主要用来实现字符界面的远程登陆，远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理，其中包括用户登陆时输入的用户口令，与早期的telnet（远程管理），rsh（RemoteShell，远程执行命令），rcp（远程复制文件）等应用相比，SSH协议提供了更好的安全性

XSS攻击什么是XSS攻击XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(https://www.oschina.net/action/GoT

通过PowerShell远程连接到Windows1、目标Windows配置远程连接到目标Windows服务器，以管理员身份运行PowerShell，执行以下命令开启服务EnablePSRemoting然后一路确定。!_(https://yqfile.alicdn

服务端程序运行在一台远程服务器上，我们可以在本地服务端的代码（前提是本地的代码必须和远程服务器运行的代码一致）中设置断点，每当有请求到远程服务器时时能够在本地知道远程服务端的此时的内部状态。使用远程调试的JVM参数运行服务端代码XdebugXrunjdwp:transportdt_socket,suspendn,server

利用WAF为Web应用提供防护，在这里，我们以Naxsi为例来演示下如何利用WAF来为其后端的Web应用提供安全防护。Naxsi是一个开放源代码、高效、低维护规则的Nginxweb应用防火墙模块。Naxsi的主要目标是帮助人们加固他们的web应用程序，以抵御SQL注入、跨站脚本、跨域伪造请求、本地和远程文件包含漏洞。（WebApplicationFir

源代码审计是一种通过检查源代码来发现潜在的安全漏洞的方法。下面是常用的源代码审计工具：1、Fortify：通过内置的五大主要分析引擎，对源代码进行静态分析，并与特有的软件安全漏洞规则集进行全面地匹配、查找。2、Checkmax：通过虚拟编译器自动对软件源代