目录JWT简介JWT数据结构JWT头部JWT有效载荷JWT签名JWT用法JWT验证流程JWT问题与趋势JWT安全风险JWT简介Web服务使用最多的认证方式是基于Session的认证https://bl...
分享一个文章
文章地址是:一处反序列化任意文件写入的漏洞分析真有意思第一次理解file_put_contents的2个参数, 竟然支持php://伪协议666也学习到了 base64是8位解一下行 本文始发于微信公...
干货|如何在无回显时渗透
前言在渗透测试的很多时候,我们可能都得不到数据的回显。由于得不到数据的回显,我们就无法进一步判断我们渗透测试的结果。所以本文告诉大家,在没有回显的时候,我们又该如何测试。1.利用pingping `命...
一次编码WebShell bypass D盾的分析尝试
前言webshell是获得网站的控制权后方便进行之后的入侵行为的重要工具,一个好的webshell应该具备较好的隐蔽性能绕过检测,最近偶然间捕获到了一个webshell的样本经过了4次编码来绕过检测感...
谈一谈php://filter的妙用
from:https://www.leavesongs.com/PENETRATION/php-filter-magic.html php://filter是PHP中独有的协议,利用这个协议可以创造很...
绝路逢生出0day——SYSTEM权限内网漫游
原创作者:woojay ,感谢作者。作者博客:www.blankshell.com思路:逻辑漏洞+编辑器0day=getshell+内网漫游又是一个深夜,记录前段时间测试的过程。唉,每次小有所学就要懈...
CVE-2021-2109 Weblogic RCE
△△△点击上方“蓝字”关注我们了解更多精彩0x00 漏洞简介Oracle官方发布了漏洞补丁,修了包括 CVE-2021-2109 Weblogic Server远程代码执行漏洞在内的多个高危严重漏洞。...
BurpSuite8.2 解决参数加密问题
一、抓包分析,Authorization参数是加密的,带等号的考虑Base64加密二、解密后发现正好是我们提交的账号和密码三、将数据发送到爆破模块Intruder,把加密数据添加到可变参数四、设置Pa...
HackTheBox-Linux-Node
一个每日分享渗透小技巧的公众号大家好,这里是 大余安全 的第 117 篇文章,本公众号会每日分享攻防渗透技术给大家。靶机地址:https://www.hackt...
5