RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

Windows进程

进程这个观念我们现在都已经很熟悉了,进程是一个程序的运行实例,进程我们可以看做是操作系统为应用程序提供的资源容器,比如内存空间,文件句柄,设备以及网络连接等等。

  • 1
  • 2
  • 南陈
  • 发布于 2025-01-06 09:00:02
  • 阅读 ( 1884 )

jsp解析过程及其trick点

jsp解析过程 tomcat 解析jsp的过程,主要分为以下几个步骤: 客户端发送请求到服务器 服务器接收到请求,并交给servlet容器处理 servlet容器解析jsp文件,并将其转换为java代码 servlet容器编...

  • 3
  • 2
  • Q16G
  • 发布于 2024-12-16 09:00:00
  • 阅读 ( 2212 )

ios下某浏览器小说去广告分析与Hook

支持正版,从我做起,仅供学习!!

关于加强防范钓鱼邮件的通知

一封以“关于加强防范钓鱼邮件的通知”为主题的邮件引起的故事

  • 0
  • 2
  • 0nlyuAar0n
  • 发布于 2024-12-23 09:39:07
  • 阅读 ( 1917 )

【2024补天白帽黑客大会】破解广告欺诈迷局

演讲议题:破解广告欺诈迷局

扫描器解析日记之目标探测

开发和代码是作为一名安全人员不可或缺的能力,而我们现在学习就可以以前人开发的工具入手,学习其代码逻辑,设计理念等等。从而写出更好的属于自己的工具。

  • 3
  • 2
  • Qiu_
  • 发布于 2024-11-04 09:00:01
  • 阅读 ( 2632 )

深入探究agent内存马攻击原理

agent内存马的本质就是通过agentmain方法,修改正在运行的Java类,在其中插入恶意直接码,从而达到命令执行。

  • 3
  • 2
  • Elite
  • 发布于 2024-09-27 09:00:00
  • 阅读 ( 2938 )

JDK高版本的模块化以及反射类加载限制绕过

稍微学习了一下

  • 0
  • 2
  • stoocea
  • 发布于 2024-09-23 10:00:01
  • 阅读 ( 3676 )

记录自己的第一次红队钓鱼样本分析

HVV 遇到了邮件钓鱼,有个样本挺有趣,自己又没分析过样本,于是便想尝试分析一下,并记录下来,同时学习一下红队大佬们的思路,大佬勿喷,讲的比较哆嗦。

  • 2
  • 2
  • yinsel
  • 发布于 2024-09-14 09:00:01
  • 阅读 ( 2755 )

内网活动目录利用方法

内网活动目录利用方法

  • 3
  • 2
  • 怜芩
  • 发布于 2024-08-26 09:00:00
  • 阅读 ( 4172 )

使用自动化工具寻找sql注入漏洞

对某开源cms进行代码审计 ,发现虽然该cms虽然对参数参数进行了过滤,但是过滤有限,依然可以通过其他方法绕过进行sql注入,本文将将通过正则匹配的方式,并通过自动化查找工具,寻找某cms中存在的sql注入漏洞

浅谈SpringMVC自定义参数解析器与常见风险

在 Spring MVC 的控制器(Controller)中,方法参数通常由 Spring 容器自动解析。然而,在某些情况下,开发者可能需要自定义解析逻辑,以满足特定的需求。在日常代码审计可以额外关注对应的自定义参数解析器,可能会有意想不到的收获。

  • 1
  • 2
  • tkswifty
  • 发布于 2024-07-18 10:00:01
  • 阅读 ( 3694 )

记一次rce漏洞的代码分析

前几日在浏览github项目时,发现之前审计过的一个cms更新了,从日志中看到修复了一个安全漏洞,并且源码是开源的,所以根据版本对比找到修补的地方,进而发现一个命令执行的漏洞

Nexus Repository Manager 3 未授权目录穿越漏洞(CVE-2024-4956)

Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.68.0及之前版本中,存在一处目录穿越漏洞。攻击者可以利用该漏洞读取服务器上任意文件。

  • 0
  • 2
  • phith0n
  • 发布于 2024-05-23 17:42:28
  • 阅读 ( 17666 )

记一次执行顺序问题导致的SQL注入绕过

拦截器(Interceptor)和过滤器(Filter)在Java Web应用程序中都是用于处理HTTP请求和响应的组件,但它们属于不同的层次,并且具有不同的执行顺序和作用域。正确理解它们之间的区别和执行顺序对于确保应用程序的安全性至关重要。

  • 2
  • 2
  • tkswifty
  • 发布于 2024-06-03 10:00:00
  • 阅读 ( 4533 )

shiro+fastjson整合利用

本文章讲解shiro和fastjson漏洞复现合集以及绕waf不出网利用 还带点sql绕安全狗

  • 11
  • 2
  • Locks_
  • 发布于 2024-05-15 10:00:02
  • 阅读 ( 6700 )

让SharpBeacon再次伟大

花了些时间对鸡哥的sharpbeacon的代码进行问题修复和增强,为了让各位师傅少走弯路,将技术细节总结出来形成本文,也欢迎各位师傅留言进行交流学习。

  • 1
  • 2
  • 10cks
  • 发布于 2024-05-15 09:00:00
  • 阅读 ( 4479 )

SSRF突破对file协议的限制

一个在java中ssrf绕过的小trick!

  • 1
  • 2
  • Yu9
  • 发布于 2024-05-07 10:00:00
  • 阅读 ( 19136 )

Java Web常见框架寻找路由技巧

在Java Web代码审计中,寻找和识别路由是很关键的部分。通过注册的路由可以找到当前应用对应的Controller,其作为MVC架构中的一个组件,可以说是每个用户交互的入口点。简单介绍下Java Web中常见框架(Spring Web、Jersey)寻找路由技巧。

  • 2
  • 2
  • tkswifty
  • 发布于 2024-04-28 09:00:00
  • 阅读 ( 6618 )

记一次参数走私导致的权限绕过

在实际业务中,通常会对请求参数进行解析并进行鉴权处理,来避免类似平行越权的风险。若解析请求参数时与Controller的解析方式存在差异,则可能可以绕过现有的安全措施,

  • 1
  • 2
  • tkswifty
  • 发布于 2024-04-23 09:00:02
  • 阅读 ( 17154 )