Tomcat主要是提供Servlet/JSP容器,静态资源的处理速度以及Web服务管理功能方面不如其他专业的HTTP服务器,所以使用效率和性能更高二进制TCP传输协议ajp协议以供其他web服务器进行...
实战某社交APP | 利用SDK构造OSS文件上传漏洞
市面上的社交APP非常多,有某个社交APP,存在文件上传头像的功能。 APP此时想要上传,肯定会打开相册,但是相册里的都是图片,我们想自定义后缀是没办法的。 此时可以直接采用burp抓包,...
Java Agent 注入 WebSocket 的高级玩法
免责声明 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号安全洞察知识图谱及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
Mybatis&Mybatis-Plus sql注入总结
MybatisSpringBoot整合Mybatis配置文件方式配置文件spring.application.name=springboot-testspring.datasource.url=jdb...
AspectJWeaver 反序列化链
AspectJWeaver 反序列化链AspectJWeaver @Jang aspectjweaver:1.9.2, commons-collections:3.2.2...
Druid & Swagger 未授权访问简单配置
Druid & Swagger 未授权访问简单配置前言关于 Java 的 SpringBoot 服务中, 多多少少会掺和点其他服务的使用, 老生常谈的Druid & Swagger在这...
burp综合fuzz插件预览,开源指纹准备,e0e1-config后续更新准备
介绍 burp综合fuzz插件 新工具想法,之前根据T3nk0的Upload_Auto_Fuzz的工具进行编写,学习到了Intru的这种方法,之前感觉的话Jython支持不算好,就写了一...
Java 安全 | Click1 链分析
Click1 链分析环境说明链路分析危险方法链路开头 -> readObject一条新链挖掘【失败】Ending...声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成...
JavaSec | jackson反序列化通杀链
本文由掌控安全学院 - fupanc 投稿 前面简单了解了一下jackson反序列化,可以知道在序列化时会调用getter方法,而反序列化时会调用setter,但是都是有一定限制的,这里...
Springboot-第一个示例demo1
介绍Spring Boot 是由 Pivotal 团队提供的全新框架,其设计目的是为了简化新 Spring 应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板...
unidbg改造,提供api接口
介绍以前有过大佬二开过unidbg,添加了 unidbg 的API接口,但是用法会稍微有所改变,个人用的不是很舒服。于是,我想着能不能在unidbg原项目的基础上增加一个web服务,比如springb...
fastjson <=1.2.47 c3p0 利用
经常有学员问到fastjson c3p0 怎么利用 在 fastjson 漏洞利用中,c3p0 依赖通常用于 AutoType 相关的反序列化攻击。例如,攻击者可以利用 fastjson 解析 JSO...