一篇入门java反序列化漏洞 在探索一个技术时,我们经常会遇到众多资源和文章,但并非所有的内容都是用户友好或深入浅出的。尽管网络上关于某些主题的文章众多,但很多往往缺乏细致的解释和深入的理解。仅仅通过...
反序列化漏洞之Python篇
关于序列化与反序列化 序列化(Serialization):这是将对象的状态转换为可以保存或传输的形式(通常是字节序列)的过程。在这个过程中,对象的公共、私有字段和其他组成部分被转换为可以存储在文件中...
代码审计:某S通未授权JDBC反序列化漏洞
需要配置mysql数据库依赖 这段代码是一个 HttpServlet 类的 doPost 方法,用于处理 POST 请求。在这个方法中,首先从请求参数中获取名为 “command” 的参...
代码审计-DedeCMS
点击上方蓝字·关注我们  ...
【Web渗透】typcho 审计
反序列化漏洞0x01 分析在install.php 228-235中存在下面这段代码<?php else : ?> <?php $config = unserialize(base6...
SpringBoot Thymeleaf模版注入(学习笔记)
前言前段时间我是写过一篇SpringMvc的分发流程的。漏洞复现首先我们来复现一下这个漏洞我这里的环境是Springboot的2.2.0版本。<groupId>org.springfram...
WebLogic反序列化学习(T3反序列化学习笔记)
环境搭建我这里环境搭建参考的是本地搭建的,参考的是这位师傅的文章:https://www.penson.top/article/av40可以直接本地windows搭建,他会创建一个目录,我们将这个目录...
某cms漏洞浅析
目录 环境搭建 失败SQL 文件上传 计划任务 docker final 出于某些原因当时需要去审计一些漏洞用作特定所需的支撑,但是在逐渐审计开源cms的过程中又不需要了,索性就当锻炼审计能力做了记录...
记一次CMS系统后台通杀0day-SQL注入审计之路
阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作...
实战|记一次前台getshell组合拳审计的完整过程
免责声明 由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号亿人安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
【代码扫描修复】不安全的反序列化攻击
PART.01一、漏洞描述 1.1 摘要: 在运行时对用户控制的对象流进行反序列化,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致 Denial of Service。 1.2 漏...
0基础入门代码审计-10 cookie会话认证
日常记录,仅供收藏,用时不慌。 0x01 漏洞描述 cookie是Web服务器返回给客户端的一段常用来标识用户身份或者认证情况的字符串,保存在客户端,浏览器下次请求时会自动带上这个标识,由于这个标识字...
125