shiro+fastjson整合利用
本文章讲解shiro和fastjson漏洞复现合集以及绕waf不出网利用 还带点sql绕安全狗
- 13
- 4
- Locks_
- 发布于 2024-05-15 10:00:02
- 阅读 ( 11968 )
Locks_
阿斯特
记一次“安全扫描工具联动”自动化扫描漏洞流程
假如你在一次攻防演练或者渗透测试中有多个攻击测试目标,一个一个去手动测试是肯定不现实的,可以先借助安全扫描工具去“自动扫描测试目标站点”的薄弱漏洞的位置,为你后续的深入测试提供事半功倍的效果。
- 14
- 8
- hqymaster
- 发布于 2024-05-09 09:38:33
- 阅读 ( 19483 )
hqymaster
xhys
Toy_Maker
某众测前端解密学习记录
某次大型金融公司众测,抓包发现都是加密数据,经过Jsrpc与autoDecoder学习调试后,最后也是成功还原数据包,挖掘出高危漏洞。分享经验,希望对大家有所帮助。
- 19
- 15
- lei_sec
- 发布于 2024-04-15 10:13:29
- 阅读 ( 13752 )
支付类漏洞挖掘技巧总结
支付类逻辑漏洞在漏洞挖掘中是常常出现的问题之一。此类漏洞挖掘思路多,奖励高,是炙手可热的漏洞。此篇文章主要围绕挖掘支付逻辑漏洞时的一些思路分享。
- 39
- 31
- 中铁13层打工人
- 发布于 2024-03-21 10:00:01
- 阅读 ( 16326 )
中铁13层打工人
实战 | 记某次逆向小程序解密及签名破解
这是之前做的一个项目,想着从小程序入手,当我打开burp抓到流量看到加密的数据包,以及sign签名参数的时候,我就知道接下来是一场硬仗要打了,看我如何一步步解密并破解签名,且听我娓娓道来。
- 9
- 3
- 小艾
- 发布于 2024-03-11 09:33:05
- 阅读 ( 12928 )
Yu9
Jdbc Attack防护绕过浅析
对于Jdbc Attack,常见的防护主要是对拼接到jdbcUrl中的相关字段进行格式校验。浅析其中的绕过方式。
- 1
- 1
- tkswifty
- 发布于 2024-02-23 09:00:01
- 阅读 ( 12120 )
tkswifty
如何入门游戏漏洞挖掘
大家普遍认为游戏漏洞挖掘难度大,游戏漏洞挖洞过程繁琐,事实不是这样,本文以简单的手游漏洞案例和挖掘过程为大家打消游戏漏洞挖掘的思想壁垒。首先我们先了解一下游戏外挂和反外挂。
- 12
- 9
- 带头大哥
- 发布于 2024-02-22 11:30:46
- 阅读 ( 15689 )
小程序绕过sign签名思路
测试小程序的逻辑漏洞经常会遇到sign签名标识,若不知道sign的生成方式,只篡改参数的值无法修改sign的值,那么漏洞测试就很难进行下一步。本篇分享将围绕如何绕过小程序sign标识展开
- 22
- 9
- 中铁13层打工人
- 发布于 2024-01-18 14:15:19
- 阅读 ( 19351 )
计算地址实现内存免杀
免杀是同所有的检测手段的对抗,目前免杀的思路比较多。本篇介绍了一个独特的思路,通过内存解密恶意代码执行,解决了内存中恶意代码特征的检测。同时提出了one click来反沙箱的思路,阐述了一些混淆反编译的想法。
- 3
- 1
- en0th
- 发布于 2024-01-09 09:00:01
- 阅读 ( 14762 )
en0th
开车开车
【Web实战】内存马系列 Netty/WebFlux 内存马
XXL-JOB EXECUTOR/Flink 对应的内存马
- 1
- 1
- Nookipop
- 发布于 2023-11-30 09:00:02
- 阅读 ( 11386 )
Nookipop
【Web实战】Oracle注入专题——注入注意点+排序注入绕过实战之踩坑篇
前言 今天这篇SQL注入的专题给到我们的Oracle数据库,它是甲骨文公司的一款关系数据库管理系统,其中在市面上的使用率也是很高的。因此这里有必要学习一下关于它的SQL注入的一些注意事项。我会...
- 4
- 0
- Johnson666
- 发布于 2023-11-28 09:00:02
- 阅读 ( 11586 )
Johnson666