反射 获取类:forName用法:Class.forName(String className) 返回 Class<?> 类型从对象获取类:getClass用法:Object.getCla...
代码审计学习资料
今天提供的资料比较书面化,可能甲方安全工作人员或者乙方代码审计人员平时会被要求写写企业里代码审计方案标准,审计测试用例……那么今天提供的资料就可以拿去参考。基本上都很简单。应该都可以看得懂,作为审计知...
Java安全之类加载分析
前言 Java类加载是Java虚拟机(JVM)将类的字节码文件加载到内存,并在运行时动态创建类的过程。类加载是Java语言的核心机制之一,对于理解Java程序的执行过程至关重要。本文将介绍Java类加...
【代码审计】WordPress 插件 download-manager 神奇的漏洞
这个漏洞是历史版本发现的漏洞,在最新版本上已经被修复。 WordPress 下载管理器是一个文件/文档管理插件,旨在管理、跟踪和控制 WordPress 网站的文件下载。您可以使用密码和用户角色来控制...
Java安全之ysoserial JRMP分析
获黑客教程免费&进群相关类sun.rmi.transport.tcp.TCPEndpoint:用于表示基于 TCP 的远程通信终点(endpoint)的类。它包含了远程主机的主机名(hostn...
JMX相关笔记
JMX简介JMX是Java Management Extensions(Java管理扩展)的缩写,是一个为应用程序植入管理功能的框架。JMX理解这么打眼一看的话,不是太好理解,所以贴上如下这张图。在J...
Java反序列化之ROME反序列化
获黑客教程 免费&进群 Java反序列化之ROME反序列化 ROME是什么: 它指的是一个有用的工具库,帮助处理和操作XML格式的数据。ROME库允许我们把XML数据转换成Java中的对象,这...
浅析白盒白名单SQL注入绕过利用
前 言 看到标题的第一反应,大家可能感觉本文讲的是一些老套数,比如select/*xasdasdsa*/等等垃圾字符绕过,在平时代码审计项目中,遇到了很多白名单过滤,现实情况就是,根本不允许使用特定语...
.NET代码审计XXE漏洞系列-详解XmlReader
0x01 XmlReader介绍 XmlReader是.NET中最常用的XML读取类,通过Read()实例方法不断读取Xml文档中的声明,节点开始,节点内容,节点结束,以及空白等等,直到文档结束Rea...
CVE-2023-38948:极致CMS后台远程文件下载RCE
简介极致CMS是一款开源免费,无商业授权的建站系统。漏洞描述jizhi CMS 1.9.5 的 /c/PluginsController.php 组件中存在任意文件下载漏洞,允许攻击者通过下载精心设计...
记一次无框架PHP代码审计
“ 我终于成为了你想要的那种人,可是你依然不属于我。” 代码审计一直是从事网络安全人员必备的技能之一。作为菜鸡的我,最近开始接触代码审计,顺便记...
Java RMI 利用入门学习
好看请点这里~Java RMI 利用入门学习Windows中遇到了Java RMI,反弹又不那么方便,这时该如何利用呢?It’s a question。正好加强Java学习了。 预备知识理解...
97