关于Swagger Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速...
在运行时从磁盘检索ntdll Syscall存根
译文声明 本文是翻译文章,文章原作者Red Teaming Experiments,文章来源:https://ired.team/ 原文地址:https://ired.team/offensive-s...
除了OD和IDA,你还用过什么逆向工具?
译文声明 本文是翻译文章,文章原作者Itay Cohen,文章来源:https://www.megabeets.net 原文地址:https://www.megabeets.net/decryptin...
超超超超超超超超超详细讲解[EIS 2019]EzPOP的多种解
0x01 给了源码,审计开始 go!go!go! ```php <?php error_reporting(0); class A { protected $store; protected $...
Epic Pen v3.7.31.0反调试
今天发现Epic Pen版本更新到了3.7.31.0,之前的调试补丁不可使用,今天着手在分析下,记录下调试过程。 0x01、信息收集 将主程序载入die查询 - 主程序未进行加壳,使用 .NET(v4...
JavaWeb中的ssrf审计
JavaWeb中的SSRF审计 漏洞原理 漏洞成因 web应用提供了从其他的服务器上获取数据的功能。例如通过用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。...
Java代码审计之短信验证码模块
常见实现方式 一般的短信验证码功能都是通过与短信平台的相关接口进行交互实现的。例如下面是通过聚合数据的接口实现的: ```java import java.io.Buffere...
记一次跨站脚本攻击审计过程
前言 前面的文章分享了一些Java中跨站脚本攻击的审计思路。结合github上某实际的代码环境进行相关的实战,以下记录相关的审计过程。 相关过程 首先拿...
JaveWeb中常见的信息泄漏——DWR类测试地址
关于DWR DWR(Direct Web Remoting)是一个用于改善web页面与Java类交互的远程服务器端Ajax开源框架,可以帮助开发人员开发包含AJAX技术的网站。...
ThinkPHP3.2.3 SQL注入漏洞分析
where注入 在控制器写如下demo开始测试 php public function ghtwf01(){ $data = M('users')->where('id='.I('id'))-&...
Web层面上的那些拒绝服务攻击(DoS)
Web层面上的那些拒绝服务攻击(DoS) 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,Vulkey_Chen(戴城)不为此承担任何责任。 Vulkey...
漫谈Java反序列化
前言 Java的反序列化漏洞探索出了Java安全的新纪元。开发人员为什么要反序列化呢?众所周知,用户和服务器进行交互时,会传输一下数据,数据传输前需要格式化,将数据转化成服务...
76