string - 第 10 | CN-SEC 中文网

CTF专场

ctf中js加密题总结

1 js混淆加密的特征是开头就是function(p,a,c,k,e,d)类型的~ 题目在http://ctf.idf.cn/game/web/28/ 查看网页源代码，发现这样一坨 eval(fun...

05月17日441 views评论

阅读全文

安全博客

一致性哈希学习

最近总是听到一致性哈希，但是不了解具体的技术详情。今天搜索了一下，记录下来。应用场景这里我先描述一个极其简单的业务场景：用4台Cache服务器缓存所有Object。那么我将如何把一个Object...

05月17日26 views评论

阅读全文

安全博客

HCTF2014 部分write up

1 查看网页源代码提示index.php.bak，下载下来源代码如下 <?php $flag='xxx'; extract($_GET); if(isset($gift)) { $content...

05月17日58 views评论

阅读全文

代码审计

Java安全之SnakeYaml反序列化分析

0x00 SnakeYaml简介 snakeyaml包主要用来解析yaml格式的内容，yaml语言比普通的xml与properties等配置文件的可读性更高，像是Spring系列就支持yaml的配置文...

05月16日64 views评论

阅读全文

CTF专场

2022网刃杯-WriteUp

WebSign_in解题思路ssrf+gopher 满足条件即可gopher://172.73.23.100:80/_POST / HTTP/1.1Host: 172.73.23.100:80Cont...

05月16日93 views评论

阅读全文

安全闲碎

OOP 思想在 TCC/APIX/GORM 源码中的应用

动手点关注干货不迷路 👆名词解释OOP面向对象程序设计（Object Oriented Programming，OOP）是一种计算机编程架构。OOP 的一条基本原则是计算机程序由...

05月16日9 views评论

阅读全文

代码审计

原创｜StandardServletMultipartResolver与文件上传bypass的那些事儿

点击蓝字关注我们在JavaWeb应用中，任意文件上传一直是关注的重点，攻击者通过上传恶意jsp文件，可以获取服务器权限。作为Java生态中最常使用的Spring框架，在进行文件上传解析时主要是这两个解...

05月16日65 views评论

阅读全文

安全文章

过d盾 jsp webshell+冰蝎免杀马

听师傅说 php免杀被玩烂了很好过重要的是jsp的和asp的这里就先扔一些jsp的免杀马,下篇扔asp的jsp免杀马的思路其实一般最常用的就是反射和类加载问题+反转问题就能bypass websh...

05月16日660 views评论

阅读全文

安全开发

【GitHub】Java 安全指南

目录安卓类I. 代码实现1.1 异常捕获处理1.1.1 【必须】序列化异常捕获对于通过导出组件 intent 传递的序列化对象，必须进行 try...catch 处理，以避免数据非法导致应用崩溃。pu...

05月13日27 views评论

阅读全文

代码审计

JAVA异常回显研究

扫一扫关注公众号，长期致力于安全研究0x01 前言水一篇文章....大佬勿喷....好久没更了0x02 代码实现首先来看如下代码，其构造传入字符串，就可以作为命令执行。与之不同的是最后回显...

05月12日52 views评论

阅读全文

安全文章

如何突破JFinal黑名单机制实现任意文件上传

零基础黑客教程，黑客圈新闻，安全面试经验尽在 # 掌控安全EDU #引言JFinal是国产优秀的web框架，短小精悍强大,易于使用。近期团队内一名小伙伴（LuoKe）在安全测试的时候报了一个很玄学的任...

05月11日35 views评论

阅读全文

代码审计

JAVA SSM框架常见安全风险分析

0x00 简介SSM 即 SPRING、SPRINGMVC、MYBATIS 三大框架的整合，随着其开发带来的各种便利以及好处，越来越多的公司以及RD使用其开发各种线上产品和后台管理系统，但也带来了许多...

05月11日77 views评论

阅读全文