前言 Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库,它提供了很多强大的数据结构类型和实现了各种集合工具类。作为A...
【poc】Dedecms 身份绕过漏洞
#!/usr/bin/python3"""# Dedecms GetCookie Type Juggling Authentication Bypass Vulnerability## Tested ...
由CVE-2022-21724引申jdbc漏洞
一、 CVE-2022-21724最近有人发文章分析了这个PostgreSQL漏洞,我很感兴趣但点进去却删除了文章,不得已只能自己来分析。先去cve网站上找这个CV...
Weblogic 远程命令执行漏洞分析(CVE-2019-2725)及利用payload构造详细解读
0x01. 漏洞简介此次漏洞不算什么新的点,核心利用点依旧是weblogic的xmldecoder反序列化漏洞,只是通过构造巧妙的利用链可以对Oracle官方历年来针对这个漏洞点的补丁绕过。Oracl...
炼石计划之JAVA代码审计
加入炼石计划一、【炼石计划知识星球简介】炼石计划专注于WEB安全入门,JavaWeb代码审计入门破壁。从基础概念知识开始学习,配合项目级系统实战,提升自己真正的技术。️炼石计划目前几大核心板块:①、(...
Java ldap协议分析
什么是ldap LDAP是Lightweight Directory Access Protocol的缩写,顾名思义,它是指轻量级目录访问协议。这个协议是用于访...
java安全(五)java反序列化
目录:1. 序列化2.反序列化3.反序列化方法的对比4.php反序列化5.java反序列化6.objectinputstream、objectoutputstream7.java.io.seriali...
java安全(六)java反序列化2
“ java反序列化2,ysoserial调试:URLDNS”个人博客地址:https://blog.csdn.net/weixin_45694388?spm={%22spm%22:%221011.2...
.NET高级代码审计(第12课) Gadget之详解ObjectDataProvider
0x01 背景有国外研发者在微软官方Github上提出废除ObjectDataProvider的建议,大家在微软社区讨论的非常热烈,提出问题者的出发点依旧是存在巨大的安全隐患,但截止目前在.NET C...
JavaScript审计
前言 Javascript (.js) 文件一般存储的是客户端代码,Javascript 文件可帮助网站执行某些功能,例如监视单击某个按钮的时间,或者当用户将鼠标移到图像上,甚至代表用户发出请求(例如...
【创宇小课堂】渗透测试-PHP反序列化及绕过
最简单的反序列化 require_once('flag.php');...
.net反序列化萌新入门--Json.Net
01 Json.net简介Json.net即Newtonsoft.Json,是.Net中开源的Json序列化和反序列化工具,官方地址:http://www.newtonsoft.com/json。它虽...
127