前言 在进行系统学习过后,对XXE进行简单总结,希望能对正在学习XXE的师傅有所帮助 前置知识 XML 什么是XML XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是...
02月18日30 views评论data
数据
浅析XML外部实体注入
02月18日30 views评论data
数据
02月18日30 views评论data
数据
白泽带你读论文 | Probe the Proto
如需转载请注明出处,侵权必究。本文发表于NDSS2022,第一作者是来自约翰斯霍普金斯大学的Zifeng Kang博士。论文提出了名为 ProbetheProto 的针对于客户端原型污染的漏洞挖掘工具...
02月16日66 views评论漏洞
网站
Fastjson1.2.80漏洞复现
• Web安全• Fastjson• unserialize• CVE-2022-25845Fastjson于5月23日,在commit 560782c与com...
02月16日111 views评论fastjson
type
JAVA安全|Gadget篇:Ysoserial CB1链
0x00 前言 JAVA安全系列文章主要为了回顾之前学过的java知识,构建自己的java知识体系,并实际地将java用起来,达到熟练掌握ja...
02月16日178 views评论apache
java
不一样的CSRF
前言在网络安全从业者中,相信都免不了学习OWASP TOP10漏洞进行入门学习,从而真正开始认识网络安全。在TOP10中,CSRF虽然最容易挖掘,但是因为其需要用户点击交互才会触发,又随着安全知识的普...
02月08日86 views评论csrf
功能
Python原型链污染变体(prototype-pollution-in-python)
简介 前些时间看了idekctf 2022*的task manager,出题人参考了另一位博主Python原型链污染变体的博文,于是打算写一篇文章简单学习下这种攻击方式和题目中的一些解题技巧等内容等 ...
01月29日45 views评论python
src
情报报告《北极战争指南》
2023年一月,总部位于伦敦的私人情报公司Grey Dynamics发布报告《北极战争指南》,内容包括: 1.0. 什么是北极战争? 2.0. 北极战场的属性 2.1. 天气 2.2. 地形 3.0....
01月26日37 views评论属性
战争
杂七杂八的网络安全知识
篇幅较长,建议收藏起来慢慢看一、信息安全概述1.信息与信息安全信息与信息技术信息奠基人:香农:信息是用来消除随机不确定性的东西信息的定义:信息是有意义的数据,是一种要适当保护的资产。数据经过加工处理之...
01月16日43 views评论信息安全
网络安全
一款针对Java语言的静态代码分析工具
TABBY是一款针对Java语言的静态代码分析工具。 它使用静态分析框架 Soot 作为语义提取工具,将JAR/WAR/CLASS文件转化为代码属性图。并使用 Neo4j 图数据库来存储生成的代码属性...
01月10日277 views评论cve
代码
【转载】PHP面向对象编程
[huayang]转载自:大嘴蜗牛 一、PHP类和对象 类是面向对象程序设计的基本概念,通俗的理解类就是对现实中某一个种类的东西的抽象, 比如汽车可以抽象为一个类,汽车拥有名字、轮胎、速度、重量等属性...
12月03日13 views评论class
name
【转载】if __name__ == ‘__main__’ 如何正确理解?
转载自:https://www.zhihu.com/question/49136398/answer/1654722335 引言 学过Java、C、C++的程序员应该都知道,每次开启一个程序,都必须写...
12月03日22 views评论java
文件
不安全的反序列化-攻击示例(一)
在本节中,将用PHP、Ruby和Java反序列化的例子指导如何利用一些常见的情况,从而证明利用不安全的反序列化实际上比许多人认为的要容易很多。如果能使用预先建立的小工具链,在黑盒测试中甚至可以做到这一...
11月15日102 views评论php
反序列化
9