01定义想象一下,你有一个复杂的玩具(对象),为了方便存放,你把它拆成零件(序列化)。当你需要玩的时候,再把零件拼回去(反序列化)。序列化:将对象(如Java对象、PHP数组)转换为字符串或二进制数据...
02月18日22 views评论反序列化
序列化
反序列化漏洞
02月18日22 views评论反序列化
序列化
02月18日22 views评论反序列化
序列化
OAuth2.0漏洞:当授权变成攻击
01定义OAuth2.0是一种开放标准,用于授权第三方应用访问用户资源,而无需共享用户凭证,它广泛应用于社交登录、API授权等场景。工作原理:定义三个不同方(即客户端应用程序、资源所有者和 OAuth...
02月18日43 views评论attacker
重定向
点击劫持与双击劫持
1.点击劫持漏洞在介绍本文的主角之前,还是先复习一下比较经典的点击劫持。其应用场景比较简单,在src挖掘中经常能看到。任何只需要点击一次就能触发的功能点,都可以尝试利用点击劫持进行攻击(当然,最好是一...
02月18日27 views评论button
height
JWT攻击
01JWTJSON Web Token (JWT)是一个开放标准(RFC 7519) ,用于作为 JSON 对象在各方之间安全地传输信息,因为它是经过数字签名的,所以此信息可以进行验证和信任,通常用于...
02月17日30 views评论jwt
payload
渗透测试基础-XSS漏洞简析
XSS原理当你拿到一个网站的时候,你们能够输入的地方:1.网站提供的框框2.网址的参数的值XSS原理:我们在一个网站上,输入【前端代码】,如果这个网站将我们的前端代码执行了,那么就说明这儿存在XSS漏...
02月15日20 views评论xss
渗透测试
SQL盲注
声明 本文作者:CloudStrife(玄螭安全实验室-核心成员) 玄螭安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明,文章来源等全部内...
02月15日安全百科28 views评论sql盲注
网络安全
什么是暗网,如何连接进入暗网
文章仅供学习网络安全技术参考研究使用,请勿使用相关技术做违法操作。警告:暗网里面充满了血腥,暴力,违法,犯罪内容,但更多的诈骗内容,不建议纯粹为了猎奇而去探索。当你凝视深渊的时候,深渊也在凝视你!什么...
02月15日1,611 views评论tor
安全性
一文讲清HTTP Header安全
简介HTTP Header是超文本传输协议 (HTTP) 的一个组成部分,是万维网上数据通信的基础。HTTP Header是 HTTP 请求(又称 HTTP 请求Header)或响应(又称 HTTP ...
02月15日31 views评论policy
xss
命令注入
01定义命令注入(Command Injection) 是攻击者通过篡改用户输入参数,将恶意命令“拼接”到应用程序的系统调用中,从而直接控制服务器操作系统。 高危场景: 网站调用ping、nslook...
02月15日15 views评论命令注入
【渗透知识】XXE注入
免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。[ 简介 ]XXE注入在...
02月14日9 views评论parser
xxe
200多个信息化词汇含义
以下为你提供一些常见信息化词汇的含义解释: 一、硬件相关 1、CPU(中央处理器)计算机的核心部件,负责执行计算机的指令和处理数据,就像人的大脑一样,对整个计算机系统的运行起着关键作用。2、GPU(图...
02月14日11 views评论信息化
编程语言
文件上传漏洞
无论是社交网站的头像上传,还是论坛的附件分享,只要存在代码设计缺陷,攻击者就能通过这个“入口”轻松控制你的服务器。 01原理文件上传漏洞的本质是开发者未对用户上传的文件进行充分的安全校验,导致攻击者可...
02月14日20 views评论文件上传漏洞
白名单
320