Stree
转载|保姆级教程---前端加密的对抗(附带靶场)
JS加解密是目前黑盒渗透测试中非常大的痛点, 为了满足等保需求, 越来越多行业的内部系统使用了加密技术对HTTP的请求体加密, 增加签名, 时间戳, RequestId等防止进行数据包的抓包改包. 这篇文章就把网络上一些流行的JS逆向后进行数据包的抓包改包方式来个大汇总, 希望能够帮助到大家入门, 提高黑盒渗透的水平。
- 6
- 5
- lei_sec
- 发布于 2024-09-05 10:00:00
- 阅读 ( 1028 )
lei_sec
Solon框架注入内存马
Solon是Java “新的”应用开发框架,类似Spring boot ,号称Java “纯血国产”应用开发框架
- 2
- 1
- Stree
- 发布于 2024-09-05 09:00:01
- 阅读 ( 735 )
xhys
filter中发生的leak
师傅们在群里讨论出题的时候,发了一段没有返回的file_get_content出来,结果Goku师傅说可以利用侧信道来打,我寻思着咋打呢,于是去求学了,结果我倒是觉得不叫侧信道吧,我觉得只是通过filter的各种parsel来把flag或者信息leak出来。
- 0
- 1
- 梦洛
- 发布于 2024-08-02 09:00:00
- 阅读 ( 1652 )
梦洛
记edusrc挖掘的骚技巧
本文作者:Track-Tobisec,主要介绍edusrc入门的漏洞挖掘手法以及利用github信息收集的过程
- 9
- 7
- n3ewlit
- 发布于 2024-07-29 09:00:00
- 阅读 ( 2850 )
n3ewlit
Python prototype chain pollution
在研究了Nodejs原型链污染之后,我注意到了国赛中出现的一个知识点Python原型链污染,同时我注意到CTFSHOW上的一个题目,于是我开始学习它并写了这篇简单的文章。
- 1
- 1
- 梦洛
- 发布于 2024-07-17 09:00:02
- 阅读 ( 1506 )
【两万字原创长文】零基础入门Fastjson系列漏洞(提高篇1)
现在距离这篇文章的写作时间已经过去整整半年,该写写他的提高篇了。基础篇发布后,很多师傅在朋友圈发表了留言,有不少师傅提出了宝贵而真挚的建议,也有师傅(@Y1ngSec、@lenihaoa)指出我文章的不足,我在此再次表示诚挚的感谢。
- 3
- 3
- W01fh4cker
- 发布于 2024-06-26 09:00:01
- 阅读 ( 2466 )
W01fh4cker
完全零基础入门Fastjson系列漏洞(基础篇)
本文作为Java安全亲妈级零基础教程的第一篇Fastjson漏洞的基础篇,从前置知识开始讲起,然后过渡到漏洞的复现和代码的分析,本文除去代码一共近18000字,配图108张,配图足够详细清楚,跟着复现分析基本可以搞明白这些漏洞是怎么一回事。
- 10
- 5
- W01fh4cker
- 发布于 2024-06-21 09:44:37
- 阅读 ( 2482 )
零基础从0到1掌握Java内存马
本文目录: 一、前言 二、前置知识 2.1 Servlet容器与Engine、Host、Context和Wrapper 2.2 编写一个简单的servlet 2.3 从代码层面看servlet初始化与装载流程 2.3.1 servlet初始化流程分析 2....
- 18
- 10
- W01fh4cker
- 发布于 2024-06-06 10:14:22
- 阅读 ( 3722 )
【漏洞挖掘】记一次985证书站Oracle注入绕WAF
本文记录了我第一次Oracle注入并绕过WAF的经历,希望大家多多支持。
- 4
- 3
- 越南王子
- 发布于 2024-05-21 09:00:00
- 阅读 ( 2901 )
越南王子
记第一次AWD与ISW之旅
第一次打AWD,打得汗流浃背,学习到了很多; 该篇文章是关于长城杯2024半决赛的writeup。
- 0
- 0
- Sakura501
- 发布于 2024-05-11 10:00:01
- 阅读 ( 4671 )
Sakura501