目录安卓类I. 代码实现1.1 异常捕获处理1.1.1 【必须】序列化异常捕获对于通过导出组件 intent 传递的序列化对象,必须进行 try...catch 处理,以避免数据非法导致应用崩溃。pu...
Shiro550改造版CC链利用
扫一扫关注公众号,长期致力于安全研究0x01 在shiro反序列化过程中,在反序列化的代码如下public T deserialize(byte[] serialized) throws S...
Python黑帽编程2.8 套接字编程
套接字编程在本系列教程中地位并不是很突出,但是我们观察网络应用,绝大多数都是基于Socket来做的,哪怕是绝大多数的木马程序也是如此。官方关于socket编程的文档地址为https://docs.py...
AST注入,从原型污染到RCE
本文介绍如何使用一种称为 AST 注入的新技术在两个著名的模板引擎中RCE 。AST 注入什么是AST[AST] https://en.wikipedia.org/wiki/Abstract_synt...
iblessing:一款针对iOS安全的漏洞利用套件
工具介绍iblessing是一款针对iOS安全的漏洞利用&安全审计套件,该工具可以帮助广大研究人员实现针对目标设备的应用程序信息收集、静态分析以及动态分析。除此之外,我们还可以使用ibless...
ZGVkZWNtcyDovazkuYnnu5Xov4cgdjUuOOaXoOadoeS7tnJjZeWIhuaekA==
记录一下分析过程参考文章:https://srcincite.io/blog/2021/09/30/chasing-a-dream-pwning-the-biggest-cms-in-china.ht...
零信任????
远程办公的场景越来越多,传统的VPN方式已经不能满足业务和安全需求,这里先记录几个名词,后续有时间研究研究SPA & fwknop & SDP & Pomerium &...
Outlook OLE 钓鱼邮件利用
from:http://zone.wooyun.org/content/246571、新建邮件,在选项中将HTML改为RTF如图注:这么做是为了修改捆绑的文件图标2、设置文件图标、插入捆绑程序选择插入...
【网络安全学习系列】Upload-labs通关手册
Pass-01-js检查这种直接禁用JS,或者burp改包等等都可以。Pass-02-只验证Content-type$is_upload = false;$msg = null;if (isset($...
通过ModSecurity防御一个C段IP发起的CC、扫描、采集等恶意行为
一、概述目前,很多WEB服务都具备了能够防御单IP发起的CC、扫描、采集等恶意行为的工具或模块,如Nginx的HttpLimitReqModule模块,Apache的mod_evasive模块,而且O...
5