json - 第 10 | CN-SEC 中文网

CTF专场

SUSTF-WriteUp

Webfxxkcors下载题目附件，不难看出 report 页面拥有 admin 权限而且会访问你提交的页面。看 challenge注册之后发现存在修改权限功能查看源码发现会像 changeapi.p...

03月01日216 views评论

阅读全文

安全文章

Web基础技术|JWT(Json Web Token)认证

目录JWT简介JWT数据结构JWT头部JWT有效载荷JWT签名JWT用法JWT验证流程JWT问题与趋势JWT安全风险JWT简介Web服务使用最多的认证方式是基于Session的认证https://bl...

02月26日76 views评论

阅读全文

代码审计

干货分享 | Fastjson远程命令执行漏洞总结

1.FastJson 简介fastjson.jar包原始下载地址：https://github.com/alibaba/fastjsonfastjson用于将Java Bean序列化为JSON字符串，...

02月20日189 views评论

阅读全文

安全文章

干货 | Fastjson远程命令执行漏洞总结

1.FastJson 简介fastjson.jar包原始下载地址：https://github.com/alibaba/fastjsonfastjson用于将Java Bean序列化为JSON字符串，...

02月19日43 views评论

阅读全文

安全文章

Firefox密码获取

Firefox和Chrome浏览器不同，Mozilla拥有自己的加密库，被称为网络安全服务（NSS），特别之处是NSS使用了ASN.1进行数据序列化。ASN1ASN.1 – Abstract Synt...

02月16日117 views评论

阅读全文

安全文章

JSON Interoperability 漏洞探索

开始更新portswigger2021年度安全文章所有提名列表的技术内容并学习。------------...

02月14日134 views评论

阅读全文

安全文章

使用pip-audit扫描Python包中的安全漏洞

关于pip-auditpip-audit是一款功能强大的安全漏洞扫描工具，该工具主要针对Python环境，可以帮助广大研究人员扫描和测试Python包中的已知安全漏洞。pip-audit使用了Pyth...

02月12日134 views评论

阅读全文

安全文章

干货｜最全fastjson漏洞复现与绕过

简介Fastjson 是一个 Java 库，可以将 Java 对象转换为 JSON 格式，当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象，即使是...

02月12日791 views评论

阅读全文

安全工具

HTTP标头的IP源限制绕过工具

0x01 ipsource介绍此Python脚本可用于绕过使用HTTP标头的IP源限制。0x02 ipsource特征17个HTTP标头。多线程。JSON导出与 --json outputf...

02月07日83 views评论

阅读全文

安全博客

【Json劫持】Json的劫持原理

前言 Json劫持形式 Json劫持当前目录创建三个文件然后json.php中写入 123456789101112<?php/*# -*- coding: utf-8 -*-# @Author...

01月10日27 views评论

阅读全文

安全文章

对某自动售货机的测试记录之越权

本次测试为授权友情测试，本文提交之前已通知厂商修复前言年级大越焦虑，时常想技术做不了之后自己能干嘛。。然后试水入了自动售货机的坑。结果随手改一个ID就是一个越权。。。然后就有了下面的故事简...

01月07日118 views评论

阅读全文

安全工具

Json文本处理工具

啊，又是好久没有发文章了，最近在内网做渗透的时候遇到一堆Json数据，然后用在线处理工具还要换成热点就觉得有点墨迹，所以临时写了一款小工具，恩...正好水文啦~侠客系列又要大更新了，没办法，我也不知道...

01月06日91 views评论

阅读全文

SUSTF-WriteUp

Web基础技术|JWT(Json Web Token)认证

干货分享 | Fastjson远程命令执行漏洞总结

干货 | Fastjson远程命令执行漏洞总结

Firefox密码获取

JSON Interoperability 漏洞探索

使用pip-audit扫描Python包中的安全漏洞

干货｜最全fastjson漏洞复现与绕过

HTTP标头的IP源限制绕过工具

【Json劫持】Json的劫持原理

对某自动售货机的测试记录之越权

Json文本处理工具

在线咨询

微信