0推荐

6540浏览

浅谈okhttp3 HTTP请求解析过程

OKHttp是一个处理网络请求的开源项目，由Square公司开发，可以用于在 Android 和 Java 应用程序中进行网络通信。它提供了简洁的 API 和高效的性能，支持同步和异步请求、连接池、拦截器、缓存等功能，使网络通信更加便捷和灵活。浅谈其HTTP请求解析过程。

• 1
• tkswifty 发布于 2023-09-11 09:00

5推荐

9342浏览

记一次抽丝剥茧式的渗透测试

网站的JS文件中通常会泄漏一些接口、URL、子域等信息，更有甚者会泄漏一些敏感信息，如OSS的AKSK等，我们利用泄漏的接口配合未授权访问，可以获取到更多的敏感信息，为后续渗透工作带来便利。本文以一次项目实战为基础展开。

• 10
• 苏苏的五彩棒 发布于 2023-09-08 09:00

0推荐

7626浏览

Mybatis-Flex浅析

MyBatis-Flex是一个MyBatis增强框架，它非常轻量、同时拥有极高的性能与灵活性。可以轻松的使用Mybaits-Flex连接任何数据库。浅析其中安全相关的问题。

• 0
• tkswifty 发布于 2023-09-04 09:00

15推荐

11484浏览

【溯源反制】自搭建蜜罐到反制攻击队

本篇文章结合之前的案例总结了一些作为蓝队的经验，希望能对蓝队溯源得分有所帮助，如果还有其他奇招妙法欢迎师傅们多多交流

• 16
• hyyrent 发布于 2023-09-01 09:00

9推荐

10391浏览

【HVV回顾】小程序打点案例分享

刚结束某地HVV，小程序作为低成本易用的信息化系统，成为HVV新型重点突破对象。以下案例均来自于小程序，供大家学习。

• 11
• 浪飒sec 发布于 2023-08-31 09:00

13推荐

7138浏览

某移动平台代码审计

该套系统是一次地市级hvv中，扫目录扫到备份文件拿到的，因为也是第一次审计.net，前期也没学过，可能也有很多解释的不对的地方望师傅们指出

• 7
• T4nGgggggggggggggggggggggggggggggggg 发布于 2023-08-30 09:00

4推荐

8867浏览

域内提权票据篇之剖析CVE-2021-42278&42287漏洞

21年披露了AD域的一个组合漏洞(CVE-2021-42278+CVE-2021-44287)，利用AD域对机器账户的认证缺陷和kerberos协议缺陷，只需一个域用户即可拿到域内最高权限，影响巨大

• 2
• 中铁13层打工人 发布于 2023-08-28 09:00

7推荐

12342浏览

云上的ssrf利用

由于云厂商提供云服务均使用同一套网络边界和鉴权系统，且各云组件默认相互信任。此时一旦存在SSRF漏洞，此类边界将不复存在，攻击者可直接调用云厂商支持环境中的相应接口，因此SSRF漏洞在云环境中更具有危害性。以下文章围绕ssrf的云上利用展开。

• 10
• 中铁13层打工人 发布于 2023-08-23 09:00

22推荐

12756浏览

记一次从xss到任意文件读取

xss一直是一种非常常见且具有威胁性的攻击方式。然而，除了可能导致用户受到恶意脚本的攻击外，xss在特定条件下还会造成ssrf和文件读取，本文主要讲述在一次漏洞挖掘过程中从xss到文件读取的过程，以及其造成的成因。

• 21
• 中铁13层打工人 发布于 2023-08-15 15:00

1推荐

9622浏览

浅谈Spring Security授权规则配置错误漏洞（CVE-2023-34035）

Spring官方发布了CVE-2023-34035，当应用程序使用了 requestMatchers(String) 和多个 Servlet（其中一个是 Spring MVC 的 DispatcherServlet）的情况下，Spring Security漏洞版本存在可能受到授权规则配置错误的影响。

• 0
• tkswifty 发布于 2023-08-11 09:00

0推荐

6497浏览

浅谈Apache CXF与JAX-RS安全

Apache CXF 是 Apache 软件基金会下的一个开源项目，用于构建 Web Services 的应用程序。CXF 支持多种标准 Web Services 规范，如 JAX-RS 和 JAX-WS，并提供了基于这些规范的高效实现。浅谈其中可能遇到的安全问题。

• 0
• tkswifty 发布于 2023-08-09 09:00

0推荐

7187浏览

浅谈Jersey安全

Jersey是一个开源的RESTful Web服务框架，它实现了JAX-RS规范（JAX-RS是Java API for RESTful Web Services的简称，它是Java EE的一个规范，提供了一组用于创建RESTful Web服务的API。）中定义的API，并提供了许多额外的特性和工具来简化RESTful Web服务的开发。浅谈其中可能遇到的安全问题。

• 0
• tkswifty 发布于 2023-08-08 09:00

1推荐

6323浏览

浅谈SpringMVC参数处理过程

在Java生态中，Spring全家桶是比较常见的。浅谈SpringMVC的参数处理过程。

• 1
• tkswifty 发布于 2023-08-03 09:00

0推荐

6055浏览

浅谈Struts2请求解析过程

在Java生态中，Struts2是比较常见的。浅谈其请求解析过程。

• 0
• tkswifty 发布于 2023-07-28 09:00

0推荐

5588浏览

Token Privileges Abusing - SeCreateTokenPrivilege

SeCreateTokenPrivilege 在 Windows 系统中，存在一个名为 SeCreateTokenPrivilege 的特权，它在 Microsoft 官方文档中被描述为 “Create a token object”。它被认为是 “上帝” 权限，因为拥有该...

• 0
• Marcus_Holloway 发布于 2023-07-27 09:00