最近写了点反序列化的题,才疏学浅,希望对CTF新手有所帮助,有啥错误还请大师傅们批评指正。php反序列化简单理解首先我们需要理解什么是序列化,什么是反序列化?PHP序列化:serialize()序列化...
gitlab漏洞系列-存在于markdown中的存储型XSS
背景复现步骤影响绕过csp示例后续gitlab漏洞系列-存在于markdown中的存储型XSS声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全...
iOS半越狱插件大全安装教程
deb格式一键安装教程如果没有安装RootlessInstaller需前往https://app.sharklatan.com/直接在线安装RootlessInstaller。(也可以直接复制链接【 ...
IDA技巧(97)cross-reference-depth
交叉引用深度我们之前介绍过交叉引用的基本用法,但在某些情况下,它们可能不会如您所期望的那样表现。访问大型数据项如果有一个大型结构体或数组,代码在其中深层次地读取或写入数据,您可能不会在结构体定义中看到...
记一次20000美元的漏洞挖掘报告(HackOne)
01 记一次20000美元的漏洞挖掘报告 Enjoy life A HAPPY LIFE AFTER RAIN 01 漏洞点1: “com.sony.gemstack.org.dvb.user.Use...
C3P0利用分析
前言 C3P0存在原生反序列化三种利用方式、拓展利用点 1.Java 原生态反序列化利用链 - 加载远程类 2.Json 反序列化利用链 - JNDI 3.Json 反序列化利用链 - HEX序列化字...
fortify sca rules 标签分析
RulePack标签分析<?xml version="1.0" encoding="UTF-8"?><RulePackxmlns:mask="xmlns://www.fortifys...
WebLogic RCE CVE-2023-21839(POC)
免责声明本公众号所提供的文字和信息仅供学习和研究使用,请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。漏洞简述CVE-2023-218...
Spring Cloud Gateway下的GC停顿排查之旅
01 背景在微服务架构体系流行的当下,Spring Cloud全家桶已经是大多数团队的首选,我们也不例外,并且选择了Spring Cloud Gateway作为了业务网关,进行了一些通用能力的开发...
Linux提权-通配符提权总结
扫码领资料获网安教程本文由掌控安全学院 - yuy0ung 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn)Linux提权-通配符提权总结+场景案...
知白守黑:防病毒软件的致命弱点—排除项与白名单
排除项防病毒 (AV) 和端点检测与响应 (EDR) 解决方案是现代网络安全防御的重要组成部分。主要用在保护系统免受恶意活动的侵害。然而,它们并不完美,有时会干扰合法操作,导致误报或性能影响。所以,所...
JNDI注入(基础篇)
一、什么是JNDI JNDI(Java Naming and Directory Interface)是一种应用程序编程接口(API),它为使用Java编程语言编写的应用程序提供命名和目录功能。它被定...