记一次参数走私导致的权限绕过
在实际业务中,通常会对请求参数进行解析并进行鉴权处理,来避免类似平行越权的风险。若解析请求参数时与Controller的解析方式存在差异,则可能可以绕过现有的安全措施,
- 0
- 2
- tkswifty
- 发布于 2024-04-23 09:00:02
- 阅读 ( 3134 )
tkswifty
格基规约在ctf中的简单应用
2020年7月22日,美国国家标准局NIST公布了其举办的后量子密码标准竞赛的第三轮入选算法,在7个正式入选第三轮的算法中,有5个都属于格密码的范畴,而与此同时,在我国密码学会举办的后量子密码算法竞赛中,格密码也在其中占据了相当大的比例。本篇主要介绍格的基本概念,以及在ctf解题中常使用的LLL算法的应用条件和情况。
- 0
- 1
- cipher
- 发布于 2023-07-17 09:00:01
- 阅读 ( 3119 )
cipher
浅谈Spring与Filter&Interceptor解析过程
过滤器Filter&拦截器Interceptor是开发中常用到的重要组件,浅谈Spring与Filter&Interceptor解析过程。
- 1
- 1
- tkswifty
- 发布于 2023-09-25 09:00:00
- 阅读 ( 3107 )
浅谈Jersey安全
Jersey是一个开源的RESTful Web服务框架,它实现了JAX-RS规范(JAX-RS是Java API for RESTful Web Services的简称,它是Java EE的一个规范,提供了一组用于创建RESTful Web服务的API。)中定义的API,并提供了许多额外的特性和工具来简化RESTful Web服务的开发。浅谈其中可能遇到的安全问题。
- 0
- 0
- tkswifty
- 发布于 2023-08-08 09:00:00
- 阅读 ( 3103 )
白帽眼中的美国“两会(Blackhat+Defcon)”
参加黑客两会(Blackhat+Defcon),变化颇多,谈其所观。
- 0
- 3
- 奇安信攻防社区
- 发布于 2023-09-01 17:09:58
- 阅读 ( 3086 )
奇安信攻防社区
中铁13层打工人
[Java安全]Spring SPEL注入总结&&回显技术
对Java安全中的SPEL表达式注入相关总结以及技巧
- 3
- 3
- Nookipop
- 发布于 2023-10-24 09:00:02
- 阅读 ( 2993 )
Nookipop
万字总结护网知识(基础知识,top10漏洞,应急响应,设备知识,挖矿总结,内网知识)
万字总结护网知识(基础知识,top10漏洞,应急响应,设备知识,挖矿总结,内网知识)
- 30
- 21
- xhys
- 发布于 2024-04-09 09:48:11
- 阅读 ( 2987 )
xhys
记一次普元Primeton EOS Platform反序列化漏洞的利用链报错问题调整
在某演练中,普元Primeton EOS Platform反序列化漏洞反序列化返回serialVersionUID对应不上的问题的一次调整,详细操作如下,为师傅们避坑
- 0
- 2
- 123彡
- 发布于 2024-02-01 10:00:01
- 阅读 ( 2983 )
123彡
支付类漏洞挖掘技巧总结
支付类逻辑漏洞在漏洞挖掘中是常常出现的问题之一。此类漏洞挖掘思路多,奖励高,是炙手可热的漏洞。此篇文章主要围绕挖掘支付逻辑漏洞时的一些思路分享。
- 10
- 11
- 中铁13层打工人
- 发布于 2024-03-21 10:00:01
- 阅读 ( 2963 )
浅谈Spring Data R2DBC中的SQL注入
Spring Data R2DBC 是 Spring Framework 的一部分,它提供了一种简化和抽象化与关系型数据库进行交互的方式。它是基于响应式编程模型的数据库访问框架,旨在与 R2DBC(Reactive Relational Database Connectivity)兼容。浅谈其中潜在的SQL注入场景。
- 0
- 0
- tkswifty
- 发布于 2023-07-18 09:00:01
- 阅读 ( 2963 )
C2基础设施威胁情报对抗策略
本文聚焦于针对C2基础设施视角下的威胁情报对抗策略,文内笔者将对于威胁情报分析过程的攻防思路展开论述。从高级攻防过程中,攻击者的视角来看威胁情报的分析思路,浅析在情报研判及狩猎过程中存在的问题。
- 0
- 0
- 风起
- 发布于 2023-09-14 09:00:00
- 阅读 ( 2950 )
风起
Mori
浅谈SpringMVC参数处理过程
在Java生态中,Spring全家桶是比较常见的。浅谈SpringMVC的参数处理过程。
- 1
- 1
- tkswifty
- 发布于 2023-08-03 09:00:00
- 阅读 ( 2935 )
Token Privileges Abusing - SeDebugPrivilege
SeDebugPrivilege SeDebugPrivilege 特权在 Microsoft 官方文档中被描述为 “Debug programs”。该特权非常强大,它允许其持有者调试另一个进程,这包括读取和写入该进程的内存。许多年来,恶意软...
- 0
- 0
- Marcus_Holloway
- 发布于 2023-07-13 09:00:02
- 阅读 ( 2933 )
Marcus_Holloway
实战 | 记某次逆向小程序解密及签名破解
这是之前做的一个项目,想着从小程序入手,当我打开burp抓到流量看到加密的数据包,以及sign签名参数的时候,我就知道接下来是一场硬仗要打了,看我如何一步步解密并破解签名,且听我娓娓道来。
- 2
- 3
- 小艾
- 发布于 2024-03-11 09:33:05
- 阅读 ( 2912 )
【Web实战】Oracle注入专题——注入注意点+排序注入绕过实战之踩坑篇
前言 今天这篇SQL注入的专题给到我们的Oracle数据库,它是甲骨文公司的一款关系数据库管理系统,其中在市面上的使用率也是很高的。因此这里有必要学习一下关于它的SQL注入的一些注意事项。我会...
- 3
- 0
- Johnson666
- 发布于 2023-11-28 09:00:02
- 阅读 ( 2888 )
Johnson666
浅谈Apache CXF与JAX-RS安全
Apache CXF 是 Apache 软件基金会下的一个开源项目,用于构建 Web Services 的应用程序。CXF 支持多种标准 Web Services 规范,如 JAX-RS 和 JAX-WS,并提供了基于这些规范的高效实现。浅谈其中可能遇到的安全问题。
- 0
- 0
- tkswifty
- 发布于 2023-08-09 09:00:00
- 阅读 ( 2878 )
Dnslog_95