13推荐

5448浏览

某众测前端解密学习记录

某次大型金融公司众测,抓包发现都是加密数据,经过Jsrpc与autoDecoder学习调试后,最后也是成功还原数据包,挖掘出高危漏洞。分享经验，希望对大家有所帮助。

• 13
• lei_sec 发布于 2024-04-15 10:13

0推荐

2415浏览

Jersey参数处理过程与常见风险

Jersey是一个开源的RESTful Web服务框架，它实现了JAX-RS规范（JAX-RS是Java API for RESTful Web Services的简称，它是Java EE的一个规范，提供了一组用于创建RESTful Web服务的API。）中定义的API，并提供了许多额外的特性和工具来简化RESTful Web服务的开发。浅谈其参数处理过程。

• 0
• tkswifty 发布于 2024-04-11 09:36

57推荐

16525浏览

万字总结护网知识(基础知识,top10漏洞,应急响应,设备知识,挖矿总结,内网知识)

万字总结护网知识(基础知识,top10漏洞,应急响应,设备知识,挖矿总结,内网知识)

• 91
• xhys 发布于 2024-04-09 09:48

0推荐

2399浏览

Spring WebFlux参数处理过程与Content-type绕过浅析

Spring WebFlux是Spring Framework提供的用于构建响应式Web应用的模块，基于Reactive编程模型实现。它使用了Reactive Streams规范，并提供了一套响应式的Web编程模型，以便于处理高并发、高吞吐量的Web请求。本文主要分析Spring WebFlux在参数处理过程中是如何对Content-type进行处理的，以及跟Spring MVC的区别。

• 0
• tkswifty 发布于 2024-04-08 09:42

1推荐

3394浏览

NoSQL 从0到1（MongoDB and InfluxDB）

NoSQL 数据库以传统 SQL 关系表以外的格式存储和检索数据。它们旨在处理大量非结构化或半结构化数据。因此，它们通常比 SQL 具有更少的关系约束和一致性检查，并且在可扩展性、灵活性和性能方面具有显着的优势。但是本次不仅针对了mangodb的Nosql注入做了分析和靶场演示，并且加入了一个不常见的数据库influxfDb的注入方式，可在CTF中出类似的题目。总的来说，nosql注入是较为灵活的。

• 0
• 梦洛 发布于 2024-04-07 10:03

2推荐

11701浏览

一次有趣的锐捷前台无条件RCE漏洞分析

本篇文章对锐捷前台无条件RCE漏洞进行细致分析和代码审计，带你一步步进入最高权限的天堂，感受CNVD满分漏洞的无穷魅力

• 1
• 新人小安 发布于 2024-04-07 10:00

2推荐

4823浏览

某oa代码审计

某oa代码审计

• 1
• Whoisa 发布于 2024-04-03 10:00

0推荐

4742浏览

域渗透之Kerberos FAST突破

域渗透之Kerberos FAST绕过

• 0
• test123213 发布于 2024-04-01 09:00

2推荐

5054浏览

某知名大型系统代码审计

大型Yii框架审计

• 0
• 花北城 发布于 2024-03-29 09:00

2推荐

4722浏览

粉碎状态机:Web条件竞争的真正潜力

blackhat 2023中有一篇议题《Smashing the state machine: The true potential of web race conditions》中介绍了利用单数据包进行条件竞争这么一个新技术，并且提供了很多的Lab来练习。本文记录的是我阅读议题的paper进行学习和做Lab的过程，部分段落翻译自议题的paper。

• 1
• fengsec 发布于 2024-03-28 09:00

3推荐

4926浏览

网络空间指纹：新型网络犯罪研判的关键路径

网络空间指纹是对涉案网络资产所表现的数字痕迹和服务特征的收集和分析，类似于传统刑事科学的指纹概念，每个网络犯罪活动站点都会在网络空间留下独特的特征。本文将重点介绍网络空间指纹的形成和采集方法，以及其在网络犯罪研判中的应用实践。同时，我们将通过实际案例分析，验证网络空间指纹在研判网络犯罪行为中的可行性和有效性。

• 1
• 风起 发布于 2024-03-22 09:33

18推荐

7177浏览

支付类漏洞挖掘技巧总结

支付类逻辑漏洞在漏洞挖掘中是常常出现的问题之一。此类漏洞挖掘思路多，奖励高，是炙手可热的漏洞。此篇文章主要围绕挖掘支付逻辑漏洞时的一些思路分享。

• 20
• 中铁13层打工人 发布于 2024-03-21 10:00

2推荐

4106浏览

BashFuck学习

一些RCE的别的利用方式

• 2
• 梦洛 发布于 2024-03-19 09:30

1推荐

3886浏览

浅学Filterchain

死亡杂糅代码，iconv转换

• 0
• 梦洛 发布于 2024-03-18 09:33

3推荐

4851浏览

实战 | 记某次逆向小程序解密及签名破解

这是之前做的一个项目，想着从小程序入手，当我打开burp抓到流量看到加密的数据包，以及sign签名参数的时候，我就知道接下来是一场硬仗要打了，看我如何一步步解密并破解签名，且听我娓娓道来。

• 7
• 小艾 发布于 2024-03-11 09:33