在 Python 中关于并发/并行的实现方式（库）有很多，于是我打算做个总结方便今后查阅。其实查阅文档，别的不好说，对于 Python，最好的方式就是查阅官方文档，除了少了些例子，几乎是完美的，所以本文只会列出常用的方法与属性。     阅读全文

CSRF（Cross-site request forgery），跨站请求伪造经验总结。     阅读全文

OWASP Top10 系列 - CSRF     阅读全文

同源策略是浏览器相当重要的安全功能，不同源在没有明确授权的情况下，不能读写其他源的资源。     阅读全文

Nmap 使用手册以及一些我使用 Nmap 的经验。     阅读全文

当应用需要调用一些外部程序去处理的情况下，就会用到一些执行系统命令的函数，这些函数将字符串当做参数传递给 shell 来当做系统命令来执行，若用户可以控制参数，就有可能通过 OS 命令注入来执行任意命令。     阅读全文

OWASP Top10 系列 - 注入 - OS 命令注入。由于个人原因，我目前为止只关注类 Linux 系统的命令注入。     阅读全文

XPath 是一门在 XML 文档中查找信息的语言，类比来看， XML 为数据库，XPath 为 SQL语言，用于查询数据。有查询嘛，十有八九就有注入的方式。     阅读全文

OWASP Top10 系列 - 注入 - XPath     阅读全文

让用户提交 Python 代码并在服务器上执行，是一些 OJ、量化网站重要的服务，很多 CTF 也有类似的题。为了不让恶意用户执行任意的 Python 代码，就需要确保 Python 运行在沙箱中。沙箱经常会禁用一些敏感的函数，例如 os，研究怎么逃逸、防护这类沙箱还是蛮有意思的。     阅读全文