在PHP中，POST请求上传文件是常见的功能，但如果处理不当，攻击者可以利用PHP的POST临时文件机制，实现任意文件上传。这不仅带来严重的安全隐患，还可能导致服务器被入侵。

本文主要记录通过代码审计的方式进行XSS漏洞挖掘，分为了找出关键位置，正向审计，反向审计三个部分，审计的系统为permeate渗透测试系统，测试系统的搭建可以参考笔者的第一篇文章。 在代码中可以看出变量直接放在模板当中，如果在控制器当中也没有转义此变量的来源，那么很有可能会存在…

你是否在使用 Google Play 的订阅功能？要确保你的后端服务实现的方式是正确的。 订阅 REST APIs 是管理用户订阅的真实可信来源。Purchases.subscriptions API 的返回包括一个非常重要的字段叫做 linkedPurchaseToken。 …

同样是一道面试答错的问题，面试官问我非对称加密算法中有哪些经典的算法？ 当时我愣了一下，因为我把非对称加密与单项散列加密的概念弄混淆了，所以更不用说什么非对称加密算法中有什么经典算法，结果当然也让面试官愣了一下，所以今天就花点时间说说PHP中的信息加密技术

组里的师弟在学习代码审计时遇到了某CMS的一个XSS漏洞，问题在于老版本是没有这个漏洞的，而且看起来也调用了相关的过滤函数，但是XSS还是触发了。 经过讨论分析，发现了其中的奥妙。

RASP（Runtime Application self-protection）是一种在运行时检测攻击并且进行自我保护的一种技术。早在2012年，Gartner就开始关注RASP，惠普、WhiteHat Security等多家国外安全公司陆续推出RASP产品，时至今日，惠普企…

一篇很好的介绍PHP基础中关于过滤、验证、转义和密码的文章~

Fastcgi 协议分析 && PHP-FPM 未授权访问漏洞 && Exp 编写

数字签名、信息加密 是前后端开发都经常需要使用到的技术，应用场景包括了用户登入、交易、信息通讯、oauth 等等，不同的应用场景也会需要使用到不同的签名加密算法，或者需要搭配不一样的 签名加密算法 来达到业务目标。这里简单的给大家介绍几种常见的签名加密算法和一些典型场景下的应用…