搜索精彩内容
包含"java"的全部内容
深入理解 JavaScript Prototype 污染攻击
本来是想发在代码审计知识星球里的一篇科普文章,因为最近知识星球似乎在和神秘组织对接,无法发表内容,所以发在博客里。Code-Breaking官方writeup拖了很久,主要是没时间,不过外面已经有很多...
攻击Scrapyd爬虫
类似我一贯的做法,这次Real World CTF我出了一道实战性的题目,目标仍然是getshell。 我们以渗透测试的步骤来审视这道题目。 0x01 信息搜集 与我以往的题目不同的是,这次虽然我自己写了一部分...
XRay旅行记 – 从内部项目到社区项目的蜕变
在上周六的攻必克,守必固——xray第二期线下技术沙龙上,我分享了一下我们xray开发团队做扫描器的想法和过程,包括一些解决的问题。 预览PPT: PPT直接下载:XRay旅行记 - 从内部项目到社区项...
BCEL ClassLoader去哪了
com.sun.org.apache.bcel.internal.util.ClassLoader是常常在构造漏洞利用POC时用到的类。但是,我前几天在写《Java安全漫谈》的时候,偶然发现我环境中的com.sun.org.apache.bcel.internal.uti...
有安全研究者混入了PHP 8.0开发组!
本文首发在我的『代码审计』公众号,欢迎关注 经历了近半年的alpha版本测试后,PHP在2020年11月26号正式发布了8.0版本:https://www.php.net/releases/8.0/en.php 今天我们就来浏览一下PHP 8.0...
CommonsBeanutils与无commons-collections的Shiro反序列化利用
这是代码审计知识星球中Java安全漫谈的第十七篇文章。完整文章列表与相关代码请参考:https://github.com/phith0n/JavaThings 上一篇文章里,我们认识了java.util.PriorityQueue,它在Java中是...
一次对 Tui Editor XSS 的挖掘与分析
TOAST Tui Editor是一款富文本Markdown编辑器,用于给HTML表单提供Markdown和富文本编写支持。最近我们在工作中需要使用到它,相比于其他一些Markdown编辑器,它更新迭代较快,功能也比较强大。...
FinalShell一款融合SSH,FTP,系统监控,等强大功能的连接工具
说明FinalShell 是一款融合了 SSH FTP 文件编辑 系统监控 Windows远程连接 并提供免费海外 服务器加速 等强大功能的连接工具该软件提供有 Windows版 macOS版 Linux版官网地址:http:...
Linux VPS 禁止指定IP访问网站
nginx禁止指定IP访问首先建立下面的配置文件放在 nginx 的 conf目录下面,命名为blocksip.conf:deny 4.4.4.4 //这是nginx要禁止的IP然后保存在nginx的配置文件nginx.conf中加入:include bl...
#小飞机#V2安装管理一键脚本
V2安装管理一键脚本此安装脚本除了可以安装V2以外,亦可以安装SS,MTP,Socks5,简单好用;一键安装命令:Debian/Ubuntuapt-get update apt-get install curl -y bash <(curl -s -L https://...