在研究了Nodejs原型链污染之后,我注意到了国赛中出现的一个知识点Python原型链污染,同时我注意到CTFSHOW上的一个题目,于是我开始学习它并写了这篇简单的文章。
现在距离这篇文章的写作时间已经过去整整半年,该写写他的提高篇了。基础篇发布后,很多师傅在朋友圈发表了留言,有不少师傅提出了宝贵而真挚的建议,也有师傅(@Y1ngSec、@lenihaoa)指出我文章的不足,我在此再次表示诚挚的感谢。
本文作为Java安全亲妈级零基础教程的第一篇Fastjson漏洞的基础篇,从前置知识开始讲起,然后过渡到漏洞的复现和代码的分析,本文除去代码一共近18000字,配图108张,配图足够详细清楚,跟着复现分析基本可以搞明白这些漏洞是怎么一回事。
本文目录: 一、前言 二、前置知识 2.1 Servlet容器与Engine、Host、Context和Wrapper 2.2 编写一个简单的servlet 2.3 从代码层面看servlet初始化与装载流程 2.3.1 servlet初始化流程分析 2....
在以往测试中总结的序列化、反序列化漏洞,欢迎各位师傅们补充!
本文记录了我第一次Oracle注入并绕过WAF的经历,希望大家多多支持。
主要讲下bof的代码编写和使用,让师傅们以后能快速修改上手利用
不同于理论分析文章,这边分为三个部分,从理论到实战,主要是想让大家入门一下内存马的原理,以及学习利用CC链或者fastjson等打内存马的一些坑点还有如何注入内存马连接冰蝎,让师傅们能快速在实战中上手。
第一次打AWD,打得汗流浃背,学习到了很多; 该篇文章是关于长城杯2024半决赛的writeup。
小trick一则
万字总结信息收集(全网最全)
文章旨意在于总结各类反弹shell
CORS漏洞学习
本文是笔者阅读BLACK HAT-2023中《Three New Attacks Against JSON Web Tokens》这篇paper学习后所写的笔记,涉及到相关的原理知识、3种新的JWT攻击姿势和复现过程。
转载
CTF真有趣
万字总结护网知识(基础知识,top10漏洞,应急响应,设备知识,挖矿总结,内网知识)
NoSQL 数据库以传统 SQL 关系表以外的格式存储和检索数据。它们旨在处理大量非结构化或半结构化数据。因此,它们通常比 SQL 具有更少的关系约束和一致性检查,并且在可扩展性、灵活性和性能方面具有显着的优势。但是本次不仅针对了mangodb的Nosql注入做了分析和靶场演示,并且加入了一个不常见的数据库influxfDb的注入方式,可在CTF中出类似的题目。总的来说,nosql注入是较为灵活的。
hash加密是市面上流行的加密方法,那么此次就来分析下其中出现的安全漏洞吧!