近期，作者发现了Facebook安卓APP应用的一个深度链接漏洞，利用该漏洞，可以把用户手机上安装的Facebook安卓APP应用转变成后门程序（Backdoor），实现后门化。另外，利用该漏洞还可以重打包Face...

前言未授权访问是系统对用户限制不全，或者无限制，可以让任意用户或者限制访问用户，访问到需要权限认证的地址。未授权访问通常是会泄露用户信息，系统信息。某些服务和系统中，未授权访问还可...

前言[#] Author: xxxeyJ   [#] Blog: https://tricksongs.com/在对目标展开测试时，使用 Xray 能够以极高的效率以黑盒的形式快速定位目标资产所存在的问题，但是如果只是通过漏扫的形式定位问...

1、序章随着Docker技术近年来的高速发展和广泛使用，众多互联网公司陆续采用Docker技术作为核心业务的Paas层支撑。那么势必在Docker技术下会给安全技术体系带来新的挑战。本文章目录索引如下：1...

前言周末时间中午吃饱喝足后，闲着无聊上线玩了几把游戏，听着音乐，本想周末就这样悠闲的过的，怎么老输，开始键盘侠上线 ，没办法，人菜又瘾大。PS：本文仅用于技术讨论，严禁用于非法用途，...

当拿到权限之后，做完本地信息收集，最重要的就是做个隧道，对内网进行下一步攻击，这里简单介绍几个常用的工具，主要针对于出网和不出网两种情况。出网情况拿到服务器权限之后，遇见这种机器，...

nginx访问上游服务器upstream分为几个阶段：1.启动upstream。2.连接上游服务器。3.向上游发送请求。4.接收上游响应(包头/包体)。5.结束请求。主要数据结构：ngx_http_upstream_tngx_http_upstre...

websocket协议简介websocket是基于TCP的应用层协议，用于在C/S架构的应用中实现双向通信，rfc文档说明rfc6455。websocket在建立连接时会使用HTTP协议，所以websocket协议是基于HTTP协议实现的。...

漏洞介绍：Apache Tomcat中的WebSocket存在安全漏洞，该漏洞源于程序没有正确验证payload的长度。攻击者可利用该漏洞造成拒绝服务（无限循环）。漏洞影响范围：Apache Tomcat 10.0.0-M1-10.0.0-...

Java反序列化过程中 RMI JRMP 以及JNDI多种利用方式详解前言Java反序列化漏洞一直都是Java Web漏洞中比较难以理解的点，尤其是碰到了RMI和JNDI种种概念时，就更加的难以理解了。笔者根据网上各...