SecDroid

Burp Web Academy 路径穿越

发表于 2025-01-03 分类于 Vulnerability ， Web ， Burp Web Academy

PortSwigger Web Security Academy 是 Burp Suite 官方推出的免费 Web 安全学习靶场，在学习 Web 安全知识的同时，还可以练习 Burp Suite 的实战技能。

本篇文章讲解 Web Security Academy 之中的路径穿越（Path Traversal）章节。

发表于 2025-01-02 更新于 2025-03-05 分类于 Vulnerability ， Web ， Burp Web Academy

PortSwigger Web Security Academy 是 Burp Suite 官方推出的免费 Web 安全学习靶场，在学习 Web 安全知识的同时，还可以练习 Burp Suite 的实战技能。

本篇文章讲解 Web Security Academy 之中的系统命令注入（OS Command Injection）章节。

发表于 2025-01-01 分类于 Vulnerability ， Web

Burp Suite 是大名鼎鼎的 Web 渗透神器，提供社区免费版 Burp Suite Community Edition，基本功能够用。笔者非专业 Web 安全从业人员，想体验下 Pro 版本的功能，想到 scz 有过相关研究，参考他的博客捣鼓了一下，专业人士最好还是付费支持。

发表于 2024-12-01 分类于 Misc

Bideo：编写 Python 脚本自动化调用 FFmpeg 从 Bilibili / B 站缓存目录提取视频文件。

发表于 2024-12-01 分类于 Misc

使用 FFmpeg 为视频嵌入硬字幕，以及在 Windows 下为 subtitles 设置路径参数需要使用 / 而不是 \ 作为路径分隔符。

发表于 2024-11-26 更新于 2024-11-27 分类于 Vulnerability ， Windows

CVE-2023-2939 Chrome Installer 本地提权（DoS）漏洞简单分析。

发表于 2024-11-20 分类于 Vulnerability ， Go

Go 语言里默认的 exec.Command 存在路径搜索安全问题，可以使用 import exec "golang.org/x/sys/execabs" 缓解。

发表于 2024-11-15 更新于 2024-11-20 分类于 Vulnerability ， Windows

在 Windows 上，如果使用 Linux 形式的路径，或者错误使用 Windows 相对路径，可能引发路径搜索漏洞（Untrusted Search Path Vulnerability）。

发表于 2024-11-07 更新于 2024-11-20 分类于 Development

不得不说，开发人员的安全水平真是参差不齐，接触的某厂的开发，一部分人真的是太菜了，这其中有毕业一两年的应届生，也有工作时长长短不一的外包。

发表于 2024-10-24 更新于 2025-04-02 分类于 Blog

先创建一个 GitHub 账号，然后创建一个名为 <username>.github.io 的仓库，比如 secdroid.github.io。

接下来配置 SSH 登录 GitHub，进入 Settings / SSH and GPG keys，可以参考 GitHub 提供的 Guide 进行设置：