漏洞
未读
【0day】某云HKMP智慧商业软件存在逻辑缺陷漏洞
漏洞简介 某和正信息技术有限公司,成立于2010年,位于山东省青岛市,是一家以从事软件和信息技术服务业为主的企业。某云HKMP智慧商业软件存在任意用户添加漏洞 资产详情 body="金斗云 HKMP" 漏洞复现
漏洞
未读
反序列化漏洞学习指南
分类 反序列化漏洞,就是在将一段特定格式的数据流反序列化为特定数据结构或对象时,由于处理不当,而造成的安全漏洞。 特定格式的数据流?那都有哪些格式呢?按照不同的数据流类型,将Java反序列化漏洞分为以下四类: 二进制流反序列化漏洞
CTF
未读
CTFWEB-JWT篇
Web题目做题思路 第一步 拿到题目后,判断题目利用的漏洞方式为读取、写入、还是执行。在不能马上确定的情况下,就由从低到高,依次挖掘,即先找文件读取、再找文件写入、再找命令执行。这一步先确定出最终要拿到的权限,确定渗透方向。
网络安全
未读
甲方视角下的白盒安全测试
信息搜集 甲方的道友们在做白盒安全测试时,一般都是让业务线提供系统代码,之后直接开始审计,业务线给什么代码,就审什么代码。当遇到一个架构较为复杂的系统时,后台可能会存在多个web服务(如微服务架构),而业务线往往只提供他认为最主要的一个web服务的代码,这时就出现了代码遗漏的问题。所以为了确保我们审
CTF
未读
CTFWEB-文件上传篇
前言 由于使用的ctf平台是内部环境,不便公开,所以本文章只讲述做题思路和方法,练习平台大家自行选择,可以使用在线的ctf平台如:ctfshow、buuctf、bugkuctf等,也可以使用网上公开的靶场upload-labs学习。 Web题目做题思路 第一步 拿到题目后,判断题目利用的漏洞方式为读
网络安全
未读
Java沙箱SecurityManager的妙用
业务系统提供了一个插件功能,用户可以根据插件规范来编写插件,然后将其制作为Jar包上传到系统,系统将会运行相关函数。另外就是插件Jar包必须和业务系统运行在同一个JVM虚拟机。这时为了避免任意代码执行漏洞,通常可采用如下两种方案: 1、给插件包添加签名校验(需保证插件包无法伪造),或给该功能添加二次
CTF
未读
CTFWEB-文件包含篇
Web题目做题思路 第一步 拿到题目后,判断题目利用的漏洞方式为读取、写入、还是执行。在不能马上确定的情况下,就由从低到高,依次挖掘,即先找文件读取、再找文件写入、再找命令执行。这一步先确定出最终要拿到的权限,确定渗透方向。
网络安全
未读
JSRPC实现前端加密破解,自动化加密
前言 当我们遇到一些前端加密的时候,通常我们会去逆向JS,找到加密函数,然后使用burp插件或者python实现加密,这样我们还需要扣一些细节去补环境,下面介绍利用JSRPC的方法(只需要找到加密函数)实现加密 JSRPC就是远程调用协议,简单来说就是我们可以本地编写代码去调用浏览器的JS加密函数,
网络安全
未读
Kerberos 协议认证流程和相关安全问题
概述 介绍 Kerberos是一种网络身份验证协议,在通过密钥加密技术为客户端/服务器应用程序提供身份验证,主要用在域环境下的身份验证,支持windows和linux,使用88端口进行认证,使用464端口进行密码重设
CTF
未读
CTFWEB-XXE篇
基础知识 XML即 可扩展标记语言(EXtensible Markup Language),是一种标记语言,其标签没有预定义,您需要自行定义标签,是W3C的推荐标准。与HTML的区别是: H
CTF
未读
CTFWEB-SSRF篇
什么是ssrf SSRF (Server-Side Request Forgery) 即服务端请求伪造,从字面意思上理解就是伪造一个服务端请求,也即是说攻击者伪造服务端的请求发起攻击,攻击者借由服务端为跳板来攻击目标系统。 既然是跳板,也就是表明攻击者是无法直接访问目标服务的,为了让大家更好的理解这
CTF
未读
CTFWEB-反序列化篇
面向过程和面向对象 面向过程 面向过程是一种以"整体事件"为中心的编程思想,编程的时候把解决问题的步骤分析出来,然后用函数把这些步骤实现,在一步一步的具体步骤中再按顺序调用函数 面向对象 面向对象是一种以"对象"为中心的编程思想,把要解决的问题分解成各个"对象";对象是一个由信息及对信息进行处理的描
最近发布
_%E5%89%AF%E6%9C%AC-fmez.png?width=400)
友情链接
竖向卡片 · 可滚动
