Whoisa
java审计调试方式
在审计Java项目时,最理想的情况是我们拿到源码,并且可以直接运行调试;但也有很多时候,我们只能拿到一个Jar包、class文件等。这时候没法直接调试,需要我们用remote attach方式调试;也有一种情况是有源码也有jar包,但直接用源码编译时会报依赖错误很麻烦。为了能直接调试现成的jar包,也可以使用remote attach加依赖库的方式;还有一种情况是为了调试Java的native方法,查看native方法的C/C++实现。下文会一一描述。
- 15
- 5
- Xiaopan233
- 发布于 2022-07-15 09:32:51
- 阅读 ( 13858 )
Xiaopan233
记一次曲折的获取权限
碰到了一个对外宣传是否安全的站点,但实际测试下来并不安全。不过在这次获取权限的过程中还是有点曲折,记录下来并分享给大家。
- 6
- 5
- en0th
- 发布于 2022-04-25 09:44:46
- 阅读 ( 11500 )
en0th
重生之我是赏金猎人-- 逆向app破解数据包sign值实现任意数据重放添加
本期登场的目标虽不是SRC,但是整个漏洞的利用手法很有学习意义。**目前在很多大厂的http数据包中都会添加sign值对数据包是否被篡改进行校验,而sign算法的破解往往是我们漏洞测试的关键所在~
- 7
- 5
- J0o1ey
- 发布于 2021-11-08 09:51:27
- 阅读 ( 11067 )
J0o1ey
从App页面路径泄露到服务器沦陷
### 本篇文章纯属虚构,如有类同实属巧合 ## 0×01简述 对这段时间做的一次攻防演练做一个记录,这次攻防演练属于教育行业,给我们分了三个目标,一个目标是甲方单位自己的一个自建系统,...
- 8
- 5
- 带头小哥
- 发布于 2021-10-15 17:17:36
- 阅读 ( 14968 )
带头小哥
渗透测试工具&导航合集
#前言 表哥们一般都有自己强大的工具库,今天我也稍作整理,分享交流出来一部分 #信息收集 ####dirbuster kali自带的一款工具,fuzz很方便 ####gorailgun 一款自动化做的非常好的...
- 12
- 5
- 天禧信安
- 发布于 2021-08-27 10:21:27
- 阅读 ( 10343 )
天禧信安
浅谈信息收集
## 写在前面 信息收集对于渗透测试来说是很重要的,是渗透测试的前期准备工作,俗话说知己知彼,才能百战不殆。掌握了对目标的足够信息,我们才能更好地开展渗透测试。 信息收集的方式可...
- 5
- 5
- Johnson666
- 发布于 2021-05-31 17:13:38
- 阅读 ( 12432 )
Johnson666
当XSS遇上CSP与mXSS:绕过技巧与底层逻辑
在现代 Web 安全体系中,跨站脚本攻击(XSS)虽然已经是一个“老生常谈”的话题,但随着浏览器安全策略和防护手段的不断更新,XSS 的绕过技术也在持续演化。本文系统梳理了常见的 XSS 绕过思路,重点介绍了 内容安全策略(CSP)的绕过方法、混合 XSS(mXSS)的成因与利用,并结合实际案例分析其背后的实现原理。通过从机制层面理解这些绕过方式,读者不仅能够更清晰地认识 Web 安全防护的局限性,还能在攻防对抗中掌握更有效的思路。
- 3
- 4
- 梦洛
- 发布于 2025-09-09 10:03:29
- 阅读 ( 4401 )
梦洛
巧用Chrome-CDP远程调用Debug突破JS逆向
CDP远程调用非常方便,他允许我们直接可以通过代码来操作浏览器完成一系列行为,希望通过我的这篇文章让师傅们对其有一定了解,学习并赋能与我们的渗透测试与安全研究工作之中,提升效率!
- 1
- 4
- 新人小安
- 发布于 2025-01-22 09:00:01
- 阅读 ( 9834 )
小程序sign逆向和渗透两种思路,总有一款适合你
解开微信devtools进行debug获取加密逻辑和还原js后硬逆,两种思路各有利弊
- 5
- 4
- 逐影安全
- 发布于 2024-10-18 09:00:02
- 阅读 ( 7790 )
逐影安全
【漏洞挖掘】记一次985证书站Oracle注入绕WAF
本文记录了我第一次Oracle注入并绕过WAF的经历,希望大家多多支持。
- 7
- 4
- 越南王子
- 发布于 2024-05-21 09:00:00
- 阅读 ( 7802 )
越南王子
【Web实战】阿里云手动接管云控制台(保姆级别教程不触发告警)
说到cli接管之前,首先得看明白阿里云官方文档,搞清楚具体流程和官方工具和api的调用方式,链接如下 https://next.api.aliyun.com/document/Ram/2015-05-01/overview
- 6
- 4
- 陌离sg009
- 发布于 2023-11-17 09:00:00
- 阅读 ( 12521 )
[Java安全]Spring SPEL注入总结&&回显技术
对Java安全中的SPEL表达式注入相关总结以及技巧
- 3
- 4
- Nookipop
- 发布于 2023-10-24 09:00:02
- 阅读 ( 10540 )
Nookipop
Obsession
pokeroot
XG小刚
BurpSuite Trick ALL In ONE (第一版)
BurpSuite 是一款Web安全研究人员、渗透测试人员和BugHunter的工具,在实际使用的时候一些小Trick将会帮助你更高效的使用这款工具,本文是在看到 Twitter上@sec_r0 开启的一个话题 #BurpHacksForBounties 之后基于他提到的一些trick进行扩展之后撰写的,在撰写的途中融合进了个人在使用BurpSuite时的一些trick和想法,也参考了众多文章,本篇为第一版,随后再有更多Trick的话会继续更新下一版。
- 9
- 4
- z3
- 发布于 2021-10-11 16:50:03
- 阅读 ( 20159 )
z3
攻破网站登录页面思路(细!)
在做渗透测试的时候,当其他`OWASP TOP 10`漏洞挖掘的差不多的时候,这时候就可以进行大批量的暴力破解或者是小批量的弱口令(因为怕网页被扫挂了),如果该系统或者是该url拥有一个管理后台的页面,那么就可以利用一些方法来登录后台,接下来我来一一列举如何方便有效的登录网站后台!
- 16
- 4
- 和风
- 发布于 2021-07-30 14:04:53
- 阅读 ( 15564 )
和风