前言所谓代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。在安全领域,为了发现安全问题,常通过黑盒测试、白盒测试方法来尽可能的发现业务程序中的安全问题,代码审计就是白盒测试的常用...
几个提高工作效率的Python自动化脚本,收藏!
来源 | 杨小爱❝文末送书,不要错过哦~在这个自动化时代,我们有很多重复无聊的工作要做。 想想这些你不再需要一次又一次地做的无聊的事情,让它自动化,让你的生活更轻松。 那...
BurpSuite自动化测试漏洞插件 PyCript(1月26日更新)
=================================== 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,...
CVE-2022-39396-Parse Server transformUpdate 原型污染远程代码执行漏洞
漏洞详情 此漏洞允许远程攻击者在受影响的 Parse Server 安装上执行任意代码。利用此漏洞不需要身份验证。特定缺陷存在于 transformUpdate 函数中。该问题是由于缺乏对对象原型属性...
ClickHouse 查询优化详细介绍
作者:oliverdding,腾讯 CSIG 测试开发工程师你想要的 ClickHouse 优化,都在这里。ClickHouse 是 OLAP(Online analytical processing...
研读Tomcat源码来看URI处理特性
前言这里通过阅读源码和黑盒测试相结合的方式来更加透彻的了解Tomcat的url解析策略parsePathParameters处理逻辑Tomcat在处理每一次的请求的时候,主要的处理逻辑是在org.ap...
fastjson:我一路向北,离开有你的季节
前言 继续水一篇漏洞文。 一、简介 fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON...
从JDK源码来看XXE的触发原理和对应的防御手段
前言这几天继续在重写GadgetInspector工具,进一步的增强该自动化工具的source点和sink点,同时增强过程中的漏报和误报的问题。这里主要是对其中有关于XXE中的两点sink进行几点分析...
【原创】CTFshow—java
[huayang] 没有一点功底根本就不行 直接转羽师傅的 啊啊啊java白学了tm的啥都看不懂 WEB279-294 296-297 怕链接挂了就直接贴上来 下载链接:https://pan.bai...
yapi分析
今天看到有公众号发了yapi的利用了,团队师傅之前已经分析好了,某些未知因素,就扔在星球了也没有发出来。不过目前已经出来详情了都出来了,现在发问题应该也不大,索性就发出来了。利用文章 ,可以参考htt...
10 个 Python 脚本来自动化你的日常任务
英文:https://python.plainenglish.io/10-python-scripts-to-automate-your-daily-task-de1496fdf64a ...
Parse Server修复了使敏感用户数据面临风险的暴力破解错误CVE-2022-36079
Parse Server中的一个安全漏洞已修复,该漏洞可以对Node.js和Express WAF的API服务器模块上的敏感用户数据进行暴力猜测。Parse Server是一个流行的开源项目,它为iO...
10