在写这篇学习笔记之前，我看了许多篇网上的文章， 发现它们都没有它们所声称的那么容易好理解。 在我完全搞懂这个漏洞之后， 我发现这个漏洞最难的地方并

在java反序列化那篇文章里面我们提到要借助一个简单的例子来了解java反序列化的gadget，URLDNS就是这么一个例子。 URLDNS是

rmi(Remote Method Invocation)是java内的远程调用服务，可以实现从一个jvm远程调用另一个jvm的代码。 提供服务的一方我们称之为服务器，而实现

当数据在网络中传输时，我们需要把我们代码中的数据固定成某种特定的数据格式去传输，目前使用最为广泛的 两种格式是: json和xml. 但是这两种格

反射机制是java语言提供动态特性的机制。动态特性，指一段代码， 改变其中的变量，即可对这段代码产生功能性的变化[1]。 基本语法 设想有一个Pe

github上面的代码审计“小”题目。 代码审计和开发不同的是，代码审计需要异常关注程序语言的各种 小边界，各种开发所遗漏的语言安全特性。 这里将

Sqli-lab 是一个供人练习sql注入的一个项目。虽然现在实战中sql注入已经非常少了，但是sql注入还是经常出现在各种CTF比赛中, 为了愉快的打CTF，垒实sqli的基础还是有必要的。

众所周知， github有免费的github page可供用户放置静态页面。呃，对于更新不那么频繁的用户来说， github page可远远比自己搭的服务器 简

用了这么久的express框架， 对它的原理还是不太清楚，惭愧惭愧， 赶紧学习一下。 express的主要功能有: 中间件的使用 路由 模板引擎 静态文件

复制集 MongoDB复制集是指MongoDB实例通过复制并应用其他实例的oplog达到数据冗余的技术。 MongoDB复制集一般由一个主服务器