攻与防:JSP Webshell检测引擎的对抗
分析了从一个简单的JSP webshell的构造到使用JSP特定的XML语法、使用标签在jsp转化为java代码的过程中通过拼接造成的恶意代码插入以及针对检测引擎的特性进行针对性webshell对抗的各种方式
- 3
- 0
- leeh
- 发布于 2025-09-15 09:46:48
- 阅读 ( 3455 )
leeh
DOM-Clobbering入门到实战
常见的XSS有很多,大多数都是通过控制js来进行攻击,但是这次,我们可以只需要HTML即可完成攻击,是不是很好玩?
- 3
- 1
- 梦洛
- 发布于 2025-09-18 09:00:02
- 阅读 ( 3178 )
梦洛
黑盒背后的密钥:验证码加密解析与 AI 破局实录
一个平常不过的app加密竟然如此难搞?一开始不断受阻,不过最后也是破局并且复盘,而且又研究了AI利用的新思路,一键出结果,非常强的可实用性
- 1
- 2
- 逐影安全
- 发布于 2025-10-29 09:45:48
- 阅读 ( 2224 )
逐影安全
信息搜集之边缘资产和隐形资产的发掘
常规的漏洞原理和利用都捻熟于心,但是为什么在SRC挖掘和攻防中,往往就是挖不到漏洞呢?我给了两点回复:第一个就是实战的经验比较少,对于漏洞在哪出现,有什么手法还掌握的不多;第二个是信息搜集没有得到要领,只会僵硬的进行信息搜集,对于边缘资产和隐形资产的发掘没有经验。
- 13
- 7
- 曾哥
- 发布于 2025-12-23 09:50:58
- 阅读 ( 1699 )
曾哥