Hessian是一个轻量级的RPC框架。它基于HTTP协议传输，使用Hessian二进制序列化，对于数据包比较大的情况比较友好。 Hessian反序列化类似Java反序列化,可导致RCE,POC好像2017年就公开了，但是...

都快2020年了，平时偶尔还是能遇到一些低版本的FastJson漏洞，现在遇到比较多的是部署在内网服务器上的场景。从外网对漏洞点进行探测，只有DNSLog可以成功请求回来，因为目标服务器没有外网、无...

前言代码安全扫描是指在不执行代码的情况下对代码进行评估的过程。代码安全扫描工具能够探查大量“if----then----”的假想情况，而不必为所有这些假想情况经过必要的计算来执行这些代码。那么代...

随着web安全从业人员的增多，很多人都有个疑问：怎么洞越来越难挖了!!?大网站是不是没有这些漏洞!!?原因是多样性的，一方面是漏洞隐藏的越来越深，另一方面是网站的架构正在发生改变；所以我们...

前言在CVE-2019-0708公布后几天就已经尝试过复现该漏洞，但借助当时exp并没能成功复现反弹shell的过程遂放弃，故借助这次漏洞复现报告再来尝试复现该漏洞，因为还在大三学习中，有很多知识还没...

Android Inline_Hook https://github.com/GToad/Android_Inline_Hook_ARM64有32和64的实现，但是是分离的，要用的话还要自己把两份代码合并在一起。缺点：1、不支持函数替换（即hook后不执行...

前言缓冲区溢出是一种非常普遍的漏洞，广泛存在于操作系统和各种应用软件中。通过缓冲区溢出攻击，可以完成执行非授权命令、执行恶意shellcode等高危攻击操作。在过往的缓冲区漏洞利用案例中，C...

本文未经作者同意不得转载。同时，本文所涉及内容均为科普性质，任何个人或组织不得利用本文内容牟利或实施违法行为。 一、前言Android调试桥 (adb) 是一种命令行工具，可与安卓设备进行通信...

0x00 前言  随着技术浪潮的涌动，国家政策的推动，区块链又慢慢的进入了我们的视野中。在 2020 年初这个时刻，不妨我们再回头看看区块链的发展，聊聊区块链中的几个技术点，为新的一年...

“实战是检验安全的唯一标准”随着企业组织的业务规模不断扩大，信息化运用快速发展，业务与数据安全已经被推上战争的高地，成为企业保护自身安全的重中之重，成为企业信息安全官在战略计划汇报...