由于博主近期在学习spring的安全知识，那么不得不接触到spring security相关漏洞。在cve上的spring相关漏洞列表里，一眼就看到了这个漏洞——Spring Security OAuth 2.3 Open Redirection(CVE-2...

前言 题目主要考点：GOT覆写技术。关于GOT覆写的基础知识以及例题可以参考这些文章： 深入理解GOT表覆写技术 GOT表覆写技术 题目 I made a simple brain-fuck language emulatio...

RASP的诞生 RASP英文为 Runtime application self-protection，即运行时应用程序自我保护。“运行时应用程序自我保护”的概念由Gartner在2014年提出，含义是：对应用服务的保护不应该依赖于...

本文作者：同盾科技安全部由于博主近期在学习spring的安全知识，那么不得不接触到spring security相关漏洞。在cve上的spring相关漏洞列表里，一眼就看到了这个漏洞——Spring Security OAuth 2....

0x00 前言JWT（JSON Web令牌）是REST API中经常使用的一种机制，可以在流行的标准（例如OpenID Connect）中找到它，但是有时也会使用OAuth2遇到它。有许多支持JWT的库，该标准本身具有“对...

安全资讯[观点] 从本质看未来：对网络安全行业的深度思考https://mp.weixin.qq.com/s/pYxoDxpSQSu867lmIbsWyg[其它] 中国网络安全细分领域矩阵图(Matrix 2019.11)发布https://mp.weixin.qq.com/...

概述 axis 全称Apache EXtensible Interaction System 即Apache可扩展交互系统。axis 为创建服务器端、客户端和网关SOAP等操作提供基本框架。axis 目前版本主要面向Java，面向C++的版本正在...

0x01前言 周三的时候，安全网站上看到有一个新爆出的关于Aapche Flink的JAR包上传导致任意代码执行的漏洞。周四在看的时候已经出了一部分POC和抓取相关漏洞机器的代码，放在编译器里跑了一下...

最近被动扫描器的话题如火如荼，好多公司都在做自己的被动扫描器。而获取质量高的流量是被动扫描器起作用的关键。笔者主要开发了两个被动扫描器的插件，r-forwarder 以及 r-forwarder-burp，两...

背景笔者近日看到了这样一篇文章：那些年我们堵住的洞 – OpenRASP纪实​ 想到rasp这类工具是基于java、php运行期的堆栈信息进行分析，可以尝试使用jni技术进行绕过。java技术栈中的jni的原...