一、背景介绍近期,Citizen Lab发布了一份关于Paragon间谍软件的详细分析报告,Paragon是一家以色列的间谍软件公司,成立于2019年,由前以色列总理 Ehud Barak 和前以色列...
『每周译Go』Go 新增模糊测试系统的内部原理
预期在几周之内,Go 1.18 即将发布。这次是一个大的版本,有很多值得期待的东西,但原生的模糊测试在我心中有一个特殊的位置。(当然,我是很有偏见的:在我离开谷歌之前,我与 Katie Hockman...
JS逆向 某单词js逆向补环境
https://web.shanbay.com/wordsweb/#/collection单词数据加密使用json hookvar my_parse = JSON.parse;JSON.parse =...
DynaScan - 戴拿 - 实现动态敏感文件扫描
DynaScan 戴拿 (奥特曼)Dynamic Weak File Scanner 动态敏感文件扫描器只是刚好为了缩写这个名字,然后他就成为了Dyna奥特曼。△△△点击上方“蓝字”关注我们了解更多精...
jsrpc联动jsEncrypte插件
这里是学了小迪最新一期js逆向课程,然后自己根据小迪老师的思路摸索出来的。大佬勿喷最好是先去了解一下jsrpc怎么用再来看这篇文章。jsrpc链接演示网站的数据包:输入的账号密码验证码直接全部加密了j...
SBOM风险预警 | pino系列投毒包开展敏感数据窃取及远程代码执行攻击
SBOM情报概述Summary近期(2025.04~2025.06),悬镜供应链安全情报中心在NPM官方仓库中连续捕获近40起伪装成高下载量知名日志库pino的包投毒事件,该系列投毒的特点是通过代码克...
JS逆向 某壁纸网站逆向爬取
爬取图片地址 网站地址:aHR0cHM6Ly9oYW93YWxscGFwZXIuY29tLw== F12 分析请求 • 没有反作弊的 • 翻页请求发现 data 请求数据是加密的 • 返回数据也是加密...
SSRF漏洞原理、检测与防御技术文档 ——服务器端请求伪造攻防全景解析
一、漏洞原理:从“可信代理人”到“攻击跳板” 对比分析:SSRF vs CSRF 对比维度SSRF(服务器端请求伪造)CSRF(跨站请求伪造)攻击对象服务器自身(诱导其访问敏感资源)用户浏览器(冒...
通过 Intel ShaderCache 目录绕过 UAC
【翻译】Bypassing UAC via Intel ShaderCache Directory 闲话少说,让我为你介绍 Intel 显卡驱动 ShaderCache 目录的 UAC 绕过方法。当您...
Tomcat Multipart类型参数处理
前言水一篇学习笔记,看这个话题最近挺火的。请求解析Tomcat在处理请求的时候会调用org.apache.catalina.connector.Request#parseParameters方法处理请...
网安原创文章推荐【2025/4/25】
2025-04-25 微信公众号精选安全技术文章总览洞见网安 2025-04-25 0x1 Tomcat Multipart类型参数处理安全之道 2025-04-25 23:04:59 本文详细分析了...
Java件组分析 - Fastjson1.2.(22-24)反序列化分析
2.2FastJson1.2.22-1.2.24 反序列化分析1.漏洞原理FastJson 反序列化是因为未对@type字段进行有效的校验导致可以传入恶意的类且反序列化的时候会自动调用setter和无...