ClassPathXmlApplicationContext的不出网利用学习
trick来自于p神知识星球挑战
- 1
- 1
- Clown
- 发布于 2025-06-06 09:00:02
- 阅读 ( 8326 )
Clown
一次从0到1的逻辑漏洞挖掘之旅
当我看到前端没任何功能点时,是绝望的;看到登录到系统后端只调用了两个接口时,是绝望的;看到js中一堆接口,但大多数都是403时,是绝望的;找到一个能调通的接口,但不知道参数名时,是绝望的;找到参数名,但是不知道传参的值时,是绝望的
- 17
- 22
- 新人小安
- 发布于 2025-06-20 09:00:02
- 阅读 ( 7757 )
手把手拆解:小程序/Web端加密鉴权绕过案例全复现
本文通过六个真实渗透测试案例,深入剖析小程序与Web端常见的加密鉴权机制,手把手演示如何通过反编译、动态调试、JS逆向与脚本复现,精准定位加密逻辑、还原签名算法,并最终实现越权访问、信息遍历与账号接管
- 23
- 12
- Werqy3
- 发布于 2025-12-02 10:00:01
- 阅读 ( 6171 )
Pydash set方法原型链污染漏洞分析:以Bottle框架环境变量泄露为例
NCTF遇到了一道pydash题目,似乎与SUCTF2025出的一道SU_blog都是这个知识点,遂想基于这道题分析一下链子。其实还可以结合idekctf那道题
- 0
- 0
- 梦洛
- 发布于 2025-04-02 09:46:42
- 阅读 ( 5787 )
梦洛
绕RASP之内存马后渗透浅析
在RASP的防御下,如何绕过waf以达到反序列化,进而RCE呢?
- 4
- 2
- shushu123456
- 发布于 2025-05-16 09:00:01
- 阅读 ( 5708 )
当XSS遇上CSP与mXSS:绕过技巧与底层逻辑
在现代 Web 安全体系中,跨站脚本攻击(XSS)虽然已经是一个“老生常谈”的话题,但随着浏览器安全策略和防护手段的不断更新,XSS 的绕过技术也在持续演化。本文系统梳理了常见的 XSS 绕过思路,重点介绍了 内容安全策略(CSP)的绕过方法、混合 XSS(mXSS)的成因与利用,并结合实际案例分析其背后的实现原理。通过从机制层面理解这些绕过方式,读者不仅能够更清晰地认识 Web 安全防护的局限性,还能在攻防对抗中掌握更有效的思路。
- 3
- 4
- 梦洛
- 发布于 2025-09-09 10:03:29
- 阅读 ( 5295 )
CSS安全:不需要XSS也可以得到你的token!
之前我们看到了用HTML进行dom clobbering攻击,那么这次,我们来利用CSS进行Inject吧!
- 5
- 5
- 梦洛
- 发布于 2025-09-22 09:48:29
- 阅读 ( 5193 )
攻与防:JSP Webshell检测引擎的对抗
分析了从一个简单的JSP webshell的构造到使用JSP特定的XML语法、使用标签在jsp转化为java代码的过程中通过拼接造成的恶意代码插入以及针对检测引擎的特性进行针对性webshell对抗的各种方式
- 4
- 0
- leeh
- 发布于 2025-09-15 09:46:48
- 阅读 ( 4325 )
DOM-Clobbering入门到实战
常见的XSS有很多,大多数都是通过控制js来进行攻击,但是这次,我们可以只需要HTML即可完成攻击,是不是很好玩?
- 3
- 1
- 梦洛
- 发布于 2025-09-18 09:00:02
- 阅读 ( 4041 )
黑盒背后的密钥:验证码加密解析与 AI 破局实录
一个平常不过的app加密竟然如此难搞?一开始不断受阻,不过最后也是破局并且复盘,而且又研究了AI利用的新思路,一键出结果,非常强的可实用性
- 3
- 3
- 逐影安全
- 发布于 2025-10-29 09:45:48
- 阅读 ( 2889 )
逐影安全