基础 简介 XStream是一个简单的基于Java库,Java对象序列化到XML,反之亦然(即:可以轻易的将Java对象和xml文档相互转换)。 原理 依赖 <dependency> &l...
08月16日49 views评论xml
序列化
XStream通览漏洞分析
08月16日49 views评论xml
序列化
08月16日49 views评论xml
序列化
二进制固件函数劫持术-DYNAMIC
背景介绍固件系统中的二进制文件依赖于特定的系统环境执行,针对固件的研究在没有足够的资金的支持下需要通过固件的模拟来执行二进制文件程序。依赖于特定硬件环境的固件无法完整模拟,需要hook掉其中依赖于硬件...
06月01日30 views评论int
二进制
Server Side XSS (Dynamic PDF)
基本介绍如果一个网页正在使用用户控制的输入创建一个PDF,您可以尝试欺骗创建PDF的机器人执行任意JS代码,PDF creator bot发现某种HTML标签后它将解释它们,您可以滥用这种行为来导致服...
05月26日安全闲碎53 views评论http
xss
挖掘DLL劫持漏洞-白加黑的实现
0x00 前言 前段时间比较忙,好久没发东西了。最近重新学习了DLL劫持漏洞相关,想着分享几个案例。 0x01 DLL劫持漏洞 首先从挖洞角度来看,这个洞对厂商没有什么太大的意义,可能都会被忽略掉。但...
04月16日136 views挖掘DLL劫持漏洞-白加黑的实现已关闭评论漏洞
系统
原创 | 挖掘DLL劫持漏洞-白加黑的实现
点击上方蓝字 关注我吧前言前段时间比较忙,好久没发东西了。最近重新学习了DLL劫持漏洞相关,想着分享几个案例。DLL劫持漏洞首先从挖洞角度来看,这个洞对厂商没有什么太大的意义,可能都会被忽略掉。但是从...
03月18日588 views评论windows
应用程序
Windows “七大奇迹”:DNS Dynamic Updates 中的7个严重漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队概要微软在3月补丁星期二修复了7个 DNS 漏洞,其中5个是远程代码执行 (RCE) 漏洞(CVE-2021-26877、CVE...
03月12日230 views评论cve
漏洞
DLL劫持与注入
本文根据广东靓仔个人技术笔记整理1. DLL劫持通常情况下程序可以指定在运行时加载的DLL(Dynamic link Library,动态连接库)。不正确或模糊地指定所需DLL的程序可能会打...
10月31日683 views评论dll
攻击者
2