黑名单 - 第 3 | CN-SEC 中文网

常见JAVA反序列化危险对象列表

在反序列化时设置类的黑名单来防御反序列化漏洞利用及攻击，这个做法在源代码修复的时候并不是推荐的方法，因为你不能保证能覆盖所有可能的类，而且有新的利用payload出来时也需要随之更新黑名单，但有一种场...

10月13日代码审计34 views评论

阅读全文

安全文章

文件上传绕过的一次思路总结（两个上传点组合Getshell）

点击上方[蓝字]，关注我们免责声明本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。文章正文这是朋友的一个渗...

10月13日21 views评论

阅读全文

安全文章

用友反序列化漏洞黑名单绕过浅析

Ha1ey@深蓝攻防实验室前言相信大家实战项目中遇到过很多某友NC或者NCCloud，关于这个产品的漏洞也是层出不穷，最多的就是反序列化漏洞了。在NC6.5这个产品版本的时候大家常用的一条利用链...

10月12日69 views评论

阅读全文

安全工具

(原创工具)流量转发器:自动化捡洞/打点必备神器

工具简介 - 项目名称：z-bool/Venom - 项目地址： https://github.com/z-bool/Venom - 项目描述：鉴于平时挖洞打点时用到被动扫描器，在挖洞时...

10月10日58 views评论

阅读全文

安全工具

[工具篇] Burp插件-TsojanScan推荐

----来自微步社区鬼才BT师傅们金句 HVV结束了，有开始就有落幕,落幕不是意味着结束,是明年更好的开始。开始学习，最近发现Tsojan师傅写的Burp的插件很好用，极力推荐下~ 介绍...

10月07日147 views评论

阅读全文

安全工具

GitGot - 半自动化搜索GitHub公共数据

我最近开始尝试一款叫 GitGot 的开源工具。这款工具专注于从 GitHub 上搜索公共数据，帮助我们快速识别潜在的敏感信息泄露。简单来说，它就像一个高效的侦探，可以帮助我们找到那些隐藏在版本控制系...

10月04日17 views评论

阅读全文

安全新闻

网安原创文章推荐【2024/8/31】

2024-08-31 微信公众号精选安全技术文章总览洞见网安 2024-08-310x1 ssrf之黑名单绕过迪哥讲事 2024-08-31 23:00:49本文讨论了服务器端请求伪造（SSRF）攻击...

09月01日32 views评论

阅读全文

安全工具

GitGot - 半自动化搜索GitHub公共数据，并获取敏感信息的工具

GitGot介绍GitGot是一个半自动化，反馈驱动的工具，使用户能够快速搜索GitHub上的大量公共数据，获取并检查敏感信息泄露情况。GitGot原理在搜索会话期间，用户将向GitGot提供有关要忽...

08月31日23 views评论

阅读全文

安全文章

「典型安全漏洞系列」08.文件上传漏洞详解

往期回顾「典型安全漏洞系列」07.OS命令注入详解「典型安全漏洞系列」06.路径遍历(Path Traversal)详解「典型安全漏洞系列」05.XML外部实体注入XXE详解「典型安全漏...

08月23日64 views评论

阅读全文

安全文章

某报表玩坏的反序列化漏洞

起因某次护网应急响应,发现了最新版的某报表的被打掉了,日记记录channel触发的反序列化进行攻击的,和springkill大哥一起愉快调试两天了,想着已经玩了一个多月,差不多见光死了,就和大家分享...

08月20日123 views已关闭评论

阅读全文

安全文章

Upload-Lab第11关：如何巧妙使用双写绕过黑名单验证

❝大家好！我是一个热衷于分享IT技术的up主。在这个公众号里，我将为大家带来最新、最实用的技术干货，从编程语言到前沿科技，从软件开发到网络安全。希望通过我的分享，能够帮助更多的小伙伴提升技术水平，共同...

08月10日29 views评论

阅读全文

安全文章

Upload-Lab第9关：如何巧妙使用特殊字符绕过黑名单验证！

08月09日30 views评论

阅读全文

在线咨询

微信