1 介绍XSS 是网络中最常见的漏洞,再配合其它的攻击手段往往能轻易敲开服务器的大门。在各大漏洞平台中,XSS 漏洞也是数量最多的。本文介绍基于 Chromium 源码实现的 XSS 检测工具,该工具...
原创 |CodeQL与AST之间联系
点击蓝字关注我们前言Part 1为什么要学习Java抽象语法树呢?在计算机科学中,抽象语法树(abstract syntax tree 或者缩写为 AST),或者语法树(synta...
干货 | JAVA靶机和漏洞练习平台推荐
Java漏洞平台,结合漏洞代码和安全编码,帮助研发同学理解和减少漏洞,代码仅供参考运行方式有以下三种:IDEA配置数据库连接,数据库文件db.sqlspring.datasource.url=jdbc...
微软云 云数据库攻防,可对数据库进行恶意操作
文章首发于Zone社区(https://zone.huoxian.cn/)0x01 前期侦查1、访问凭证泄露在信息收集阶段,通过传统攻防下的信息收集方式,收集到目标的数据库账户密码、微软云平台账户密码...
记一次新型变种QakBot木马分析
本文为看雪论坛优秀文章看雪论坛作者ID:blck四1背景年初单位邮箱收到了一篇钓鱼邮件还有一个附件xlsb的文档,将宏命令提取出来,发现会从远程下载一个文件下载后将文件上传到杀毒网开始查杀,51...
CodeQL进阶知识(Java)
笔者在阅读了CodeQL的官方文档,熟悉相关语法后,对CodeQL中的Java进行了一番简单的研究,本文分享这一过程的一些收获。规则的封装通过class我们可以封装一系列的谓词方法,这方便我们组织并编...
Gitbase:使用 SQL 探索 Git 仓库
导读:Gitbase 是一个由 Go 驱动的开源项目,它使得我们可以在 Git 仓库上运行 SQL 查询。本文字数:2306,阅读时长大约:3分钟https://linux.cn/arti...
一款内网横向渗透辅助工具
作者:isxiangyang,转载于github。https://github.com/isxiangyang/XY_Cross-domain主要功能配合使用工具(如Mimikatz)扫描本地密码,并...
『代码审计』如何解密 PHP 代码
点击蓝字,关注我们日期:2022-04-21作者:Obsidian介绍:兴之所至,简单聊聊;所学不精,还请见谅。简单聊聊sg11的加密与解密~关注微信公众号『宸极实验室』,回复关键词『0421-sg1...
WeChall CTF平台20题wp(一)
CTF平台地址:https://www.wechall.net/challs 以下题目标题组成: [Score] [Title] [Author] eg. 1Training: Get Sourced...
CodeQL与AST之间联系
前言 为什么要学习Java抽象语法树呢? 在计算机科学中,抽象语法树(abstract syntax tree 或者缩写为 AST),或者语法树(syntax tree),是源代码的抽象语法结构的树状...
AST注入,从原型污染到RCE
本文介绍如何使用一种称为 AST 注入的新技术在两个著名的模板引擎中RCE 。AST 注入什么是AST[AST] https://en.wikipedia.org/wiki/Abstract_synt...
10