提到静态漏洞检测工具，大部分人印象中都是源码级。然而有些场景是没有源码的，比如固件分析等等。本文介绍一个二进制的静态漏洞检测工具cwe_checker的基本使用方法。其开源于：https://github.com/fkie-cad/cwe_checker 他的安装和使用方式都…

SonarQube：SonarQube 是一个开源的代码质量管理平台，可以对项目进行静态代码分析，检测代码质量问题和安全漏洞。 官方网站：Code Quality, Security & Static Analysis Tool with SonarQube | Sonar OWASP Dependency-Check&a…

1、漏洞描述 Discuz国际版漏洞存在于cookie的language可控并且没有严格过滤，导致可以远程代码执行。 2、产生原因：Discuz!ML 系统对cookie中的l接收的language参数内容未过滤，导致字符串拼接，从而执行php代码。 3、影响版本&am…

更多 昨晚，wooyun上有用户报告Tornado框架某缺陷可能造成文件读取漏洞。该用户没有在公开描述中提到更多的信息。 1. 影响版本 起始版本未知，至少影响3.1及以上版本。 2. 漏洞描述 可能造成不应被读取的文件被读取。 洞主没有明确说明被读取的文件需要满…

判断该站点是否伪静态。 伪静态即是网站本身是动态网页如.php、.asp、.aspx等格式动态网页有时这类动态网页还跟“?”加参数来读取数据库内不同资料。很典型的案例即是discuz论坛系统，后台就有一个设置伪静态功能，开启伪静态后，动态网页即被转换重写成静态网页类型页面，通…

原文链接：https://medium.com/_bl4de/how-to-perform-the-static-analysis-of-website-source-code-with-the-browser-the-beginners-bug-d674828c8d9a 本文将教你如何用浏览器自带工具分析web应用的客户端源代码。这听上去有点怪，因为浏览器并不是做这…

有位孕妇怀孕7个月的时候，身上出现不明原因的瘙痒，开始不在意。可后来身上越来越痒，到了夜间，胸腹部痒得难受，她把身上都抓烂了。实在受不了才在家人的陪同下去医院，不去看妇科而去了皮肤科，皮肤…

ICP证，全称:《增值电信业务经营许可证》，是网站经营的许可证。根据国家《互联网管理办法规定》，经营性网站必须办理ICP证，否则就属于非法经营。 ICP经营许可证全称《增值电信业务经营许可证-信息服务业务（仅限互联网信…