0CTF中有一道opcode修改的题，当时觉得除了暴力尝试还原外没有什么更好的思路，结果后来看到了别人的write up，还真是暴力尝试~~

在做网页时,经常会引入图片,然后发现transition这个属性对于图片特别实用。

很多JAVA应用反序列化时并没有限制实例化对象的类型，导致可以任意构造应用中已经包含的对象利用反序列化操作进行实例化，比如任意命令执行等。

遇到linux服务器，马上想到反弹shell到本地进行溢出等提权尝试,这里搜集了一些常用的反弹姿势。

　　
WordPress REST API内容注入漏洞是由于权限控制失效导致内容注入或修改。该漏洞可以导致WordPress所有文章内容可以未经验证被查看，修改，删除，甚至创建新的文章，危害巨大。

最近看了一篇关于密码安全的文章：A Canonical Password Strength Measure. 论文作者：Eugene Panferov

我大体梳理了下：

最近面试问的挺多的一个问题，就是JavaScript的跨域问题。在这里，对跨域的一些方法做个总结。由于浏览器的同源策略，不同域名、不同端口、不同协议都会构成跨域；但在实际的业务中，很多场景需要进行跨域传递信息，这样就催生出多种跨域方法。

在审计的时候比较喜欢注意对字符串操作的编码、解码和截这些操作，因为这里有可能导致对抗SQLi和XSS等安全函数失效。

前两天改一个自己刚入学的时候写的python小工具，发现编码解码真是一个头疼却有不得不面对的问题。

前段时间学习了php对象序列化，总结了一些遇到的和看到的利用方法，在这之前我对序列化完全John Snow，所以这篇笔记写得很细很基础。