网络安全
编码的设计哲学:从传输到安全
本文旨在厘清 URL 编码、HTML 实体、Base64、Unicode、十六进制的本质与边界,并从安全角度切入,理解各种编码的区别以及编码的防御原则
2026年04月30日
9 分钟阅读300
技术探索 · 思考记录
共发布 33 篇文章,持续更新中
本文旨在厘清 URL 编码、HTML 实体、Base64、Unicode、十六进制的本质与边界,并从安全角度切入,理解各种编码的区别以及编码的防御原则
本文旨在介绍sql注入前置知识,讲解数据在浏览器与服务端之间的传输过程,以及sql注入点的判断
这篇文章基于Thinkphp 5.2 开源框架,分析在真实环境中的 POP 链及利用手段。
本文主要讲解 phar 伪协议触发 php 反序列化——在2018年的Black Hat上,提出了" phar 文件会以序列化的形式存储用户自定义的 meta-data "这一特性,从而拓展了 php 反序列化漏洞的攻击面
本文主要介绍php反序列化漏洞基础概念及原理,列举了几个简单POP利用链,为后续的高阶pop利用链打基础
本文介绍了Linux多种提权方式,分为比赛环境下的提权和真实环境下的提权,涉及SUID、Cronjobs、sudo提权方式,讲解细致,剖析原理。
本文基于post型注入,介绍了六种绕过长亭科技雷池免费waf的方法,最后一种绕过方法非常巧妙,值得学习
本题利用了 FrankenPHP 在处理 Unicode 字符时的 case-folding 漏洞。通过构造包含特殊 Unicode 字符(Ⱥ)的文件名,利用大小写转换后字符串长度不一致的特性,绕过了文件扩展名限制,成功将 .txt 文件作为 PHP 执行,最终实现 RCE 并获取 flag。