安全文章

老洞新绕

最近在某次攻防演练中中遇到了Axis漏洞,简单记录一下原因。Axis的poc的url类似如下很多规则维护人员的规则,可能直接匹配/servlet/AdminServlet,可这样能防御绕过嘛?今天来分...
阅读全文
安全文章

Listener内存马注入分析

内存马 定义 内存马,也被称为无文件马,是无文件攻击的一种常用手段。而无文件攻击呢顾名思义就是不利用shell文件进行攻击,但这里的无文件并不是真的意义上的“无文件”,而是一种攻击思路,是将恶意文件内...
阅读全文
安全文章

Filter内存马及工具检测

原理 Servlet 有自己的过滤器filter,可以通过自定义的过滤器,来对用户的请求进行拦截等操作。 经过 filter 之后才会到 Servlet ,那么如果我们动态创建一个 filter 并且...
阅读全文
代码审计

java审计之xss漏洞审计

XSS漏洞原理攻击者在被攻击的web服务器网页中嵌入恶意脚本,通常使用js编写的恶意代码,当用户使用浏览器访问被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行。XSS其实也是注入的一种,前端注...
阅读全文