什么是反序列化序列化,是指将内存中的某个对象压缩成字节流的形式,而反序列化,则是将字节流转化成内存中的对象。Java序列化和反序列化处理是基于Java框架的Web应用中比较重要的功能。因为在网络中,无...
巧用Windows事件日志“隐藏”载荷
点击蓝字 关注我们 背景根据卡巴斯基发布的研究报告发现一项恶意活动,其中的技术涉及将shellcode直接放入Windows事件日志,Windows事件日志可以被攻击者用来掩盖特洛伊木马病...
JavaScript函数劫持
JavaScript函数劫持前言最近在代码审计的过程中,发现其实前端的一些函数接口也是可以进行利用,奈何我对前端的知识了解的很少,于是这几天把<<web前端安全>>给看了一遍,...
渗透测试|从废弃接口中寻找漏洞(技巧篇)
使用OneForAll工具通过域名收集网址和ip工具地址:https://github.com/shmilylty/OneForAll常用命令:python oneforall.py --target...
【表哥有话说 第82期】劫持stdout
劫持stdout这一周表哥带来了劫持stdout的知识分享大家准备好了吗???干货分享开始了!!IO leakfile 结构体 amd64: 0...
VulnHub靶机 | Sar
“纸上得来终觉浅,绝知此事要躬行”项目地址:https://download.vulnhub.com/sar/sar.zip该靶机是一个类似...
浅谈JAVA反序列化原理
猩红实验室 欢迎投稿分享交流  ...
某集团渗透实战测试
渗透开始:1.访问官网获取信息开始渗透https://www.xxx.com.cn/可以使用Fofa,火线,zoomeye,searchcode.com等爬取相关的资产,重点关注一些有漏洞暴露的框架和...
Server Side XSS (Dynamic PDF)
基本介绍如果一个网页正在使用用户控制的输入创建一个PDF,您可以尝试欺骗创建PDF的机器人执行任意JS代码,PDF creator bot发现某种HTML标签后它将解释它们,您可以滥用这种行为来导致服...
为什么这个漏洞叫脏牛(Dirty COW)漏洞?
点击蓝字★NEWS★关注我们Dirty COWTableofcontents/// 01 ///Linux内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞,导致可以破坏私...
第二届青岛高校网络攻防竞赛暨国内高校邀请赛 write up
昨天去中国海洋大学参加第二届青岛高校网络攻防竞赛暨国内高校邀请赛,类似于ACTF, BCTF的形式,主要有逆向,溢出,破解,隐写,web安全等等。 连续7个小时的比赛,最终做出来4道题,500分,三等...
CVE-2020-0688 powershell版
专为没有python环境所用,需要ysoserial.exe 支持 123456789101112131415161718192021222324252627282930313233343536373...