Firefox和Chrome浏览器不同,Mozilla拥有自己的加密库,被称为网络安全服务(NSS),特别之处是NSS使用了ASN.1进行数据序列化。ASN1ASN.1 – Abstract Synt...
JSON Interoperability 漏洞探索
开始更新portswigger2021年度安全文章所有提名列表的技术内容并学习。------------...
使用pip-audit扫描Python包中的安全漏洞
关于pip-auditpip-audit是一款功能强大的安全漏洞扫描工具,该工具主要针对Python环境,可以帮助广大研究人员扫描和测试Python包中的已知安全漏洞。pip-audit使用了Pyth...
干货|最全fastjson漏洞复现与绕过
简介Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是...
HTTP标头的IP源限制绕过工具
0x01 ipsource介绍此Python脚本可用于绕过使用HTTP标头的IP源限制。0x02 ipsource特征17个HTTP标头。多线程。JSON导出与 --json outputf...
【Json劫持】Json的劫持原理
前言 Json劫持形式 Json劫持当前目录创建三个文件 然后json.php中写入 123456789101112<?php/*# -*- coding: utf-8 -*-# @Author...
对某自动售货机的测试记录之越权
本次测试为授权友情测试,本文提交之前已通知厂商修复前言年级大越焦虑,时常想技术做不了之后自己能干嘛。。然后试水入了自动售货机的坑。结果随手改一个ID就是一个越权。。。然后就有了下面的故事 简...
Json文本处理工具
啊,又是好久没有发文章了,最近在内网做渗透的时候遇到一堆Json数据,然后用在线处理工具还要换成热点就觉得有点墨迹,所以临时写了一款小工具,恩...正好水文啦~侠客系列又要大更新了,没办法,我也不知道...
Fastjson漏洞分析
Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java Object之间互相转换,提供两个主要接口JSON.toJSONString和JSON.par...
JWT认证问题
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。 JWT 的原理JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。 12345{...
python反序列化漏洞
我们把变量从内存中变成可存储或传输的过程称之为序列化。序列化之后,就可以把序列化后的内容写入磁盘,或者通过网络传输到别的机器上。反过来,把变量内容从序列化的对象重新读到内存里称之为反序列化。 反序列化...
CTF的知识点小记
零散的知识点记录 json1.在json环境下: 1%20 %2B \f \n \r \t \u0009 \u000A \u000B \u000C \u000D \u0020 \u002B 这些字符会...
17