>>>> 0x01 背景介绍 JWT(Json Web Token)是⼀种基于json的,用于在网络上声明的令牌。JWT是由三部分组成:头信息(header),消息体...
07月20日893 views评论payload
加密
技术解析 | JWT弱点的利用方式
07月20日893 views评论payload
加密
07月20日893 views评论payload
加密
Fastjson漏洞利用分析
FastjsonFastjson 组件是阿里巴巴开发的反序列化与序列化组件Fastjson组件在反序列化不可信数据时会导致远程代码执行。究其原因:Fastjson 提供了反序列化功能,允许用户在输入 ...
07月14日33 views评论com
反序列化
fastjson漏洞利用
Fastjson 简介Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Ja...
07月13日37 views评论java
反序列化
ThunderSearch - GUI图形化渗透测试信息搜集工具
Intro介绍:调用ZoomEye的官方api(未来会支持更多资产搜索引擎),开发的GUI界面的信息搜集工具。支持查询主机搜索、域名/IP、web应用搜索、个人信息支持读取config.json文件进...
07月02日53 views评论api
数据库
Fastjson 漏洞利用技巧
每次看到json数据包,都难免会想起Fastjson以及它多个版本存在的漏洞。如何实现自动化检测以及简化攻击步骤,从而提升漏洞发现能力,让你更有效率的Tips,在这里和大家分享下。01、自动化漏洞检测...
07月01日34 viewsFastjson 漏洞利用技巧已关闭评论com
插件
Fastjson 漏洞利用技巧
每次看到json数据包,都难免会想起Fastjson以及它多个版本存在的漏洞。如何实现自动化检测以及简化攻击步骤,从而提升漏洞发现能力,让你更有效率的Tips,在这里和大家分享下。01、自动化漏洞检测...
07月01日123 viewsFastjson 漏洞利用技巧已关闭评论com
插件
实用渗透测试Tips,小技巧 - 第40~59
前言:项目地址:https://github.com/Power7089/PenetrationTest-Tips现在格式,分类还没有进行美化,还在整理收集聚合阶段。师傅们可以使用公众号和Github...
06月27日158 views评论https
渗透测试
利用 Nuclei 快速漏洞扫描器成为赏金猎人
Nuclei使用零误报的定制模板向目标发送请求,同时可以对大量主机进行快速扫描。Nuclei提供TCP、DNS、HTTP、FILE等各类协议的扫描,通过强大且灵活的模板,可以使用Nuclei模拟各种安...
06月25日850 views评论nuclei
漏洞扫描
Fastjson反序列化漏洞复现
点击上方“蓝字”,发现更多精彩。0x00 漏洞介绍java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjson,fastjson是阿里巴巴...
06月23日761 views评论rce
反序列化
简单实现MySQL数据库的日志审计
0×0 背景 由于MySQL社区版没有自带的审计功能或插件,对于等级保护当中对数据库管理的要求的就存在一定的不满足情况的,抛开条条框框不说数据库的日志是值得研究的,通过收集数据库的日志到企业...
06月22日596 views评论file
数据库
【代码审计】反序列化漏洞复现
声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!一、前言 ...
06月21日96 views评论payload
反序列化
热门Fastjson 中出现高危RCE漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员详述了最近修复的位于热门 Fastjson 库中的一个高危漏洞(CVE-2022-25845),它可被用于执行远程代码。该漏...
06月17日188 views评论https
反序列化
16