插件说明: 一款适用于Burp的验证码识别插件 项目地址:https://github.com/f0ng/captcha-killer-modified 步骤概述 下载captcha-killer-m...
深度剖析GadgetInspector执行逻辑(上)
GadgetInspector 该类是这个项目的主类 首先就是配置日志格式 这里是使用的log4j进行控制台日志的输出,分别设置了了布局格式 / 日志级别 / 激活配置 等等操作 之后在主类中就是进行...
干货|一个小巧强大的Jar包分析与搜索 GUI 工具
作者:4ra1n,转载于github。如侵权请联系删除。项目地址:https://github.com/4ra1n/jar-analyzer注意:请勿分析过大或过多的的Jar包,建议最大不超过300M...
记一次反序列化漏洞的利用之路
0x01 前言一次偶然的机会拿到了一套系统的源码,结合CodeQLpy很容易发现了其中存在的反序列化漏洞,如图1.1所示。这是属于标准的java反序列化,也没有进行任何过滤。CodeQlpy...
若依系统前后台漏洞大全
免责声明本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。只供对已授权的目标使用测试,对未授权目标的测试作者不承担责任...
分析Jar包的GUI工具 -- jar-analyzer
===================================免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负...
CI\CD流程上软件成分分析如何解决间接依赖问题、安全运营本质与安全有效性验证讨论、如何提升渗透测试质量... | 总第181周
0x1本周话题TOP3话题1:请问在cicd流程中进行软件成分分析的时候,大家遇到间接依赖的问题是怎么解决的?比如maven声明了当前代码使用依赖是最新的版本,间接依赖存在低版本,但是这种情况编译...
告别脚本小子系列丨JAVA安全(6)——反序列化利用链(上)
0x01 前言我们通常把反序列化漏洞和反序列化利用链分开来看,有反序列化漏洞不一定有反序列化利用链(经常用shiro反序列化工具的人一定遇到过一种场景就是找到了key,但是找不到gadget,这也就是...
ysoserial系列之工具浅析
0x00 前言ysoserial系列文章第一篇,主要讲讲工具的用法和基本架构。0x01 ysoserial简介项目地址:https://github.com/frohoff/ysoserialysos...
不要在后台要burp
那天,我去参加deepin婚礼前把burp打落了神坛。两年多过去,仍然有不知从哪儿找过来的网友在公众号后台留言要burp,这些显然是没有尽力的那种,我是不是该问出自己那句著名之问?再解释一遍。(1) ...
记一款安卓APP数据包解密过程分析
0x00 背景某个授权项目遇到的案例,需要对一款app进行渗透,客户端的问题拿了一个扫描器扫了扫,水平有限,也就能做到这样了。重点还是放在针对服务器端交互的分析上。0x01 环境准备夜神模拟器,安装b...
干货 | Fastjson远程命令执行漏洞总结
1.FastJson 简介fastjson.jar包原始下载地址:https://github.com/alibaba/fastjsonfastjson用于将Java Bean序列化为JSON字符串,...
5