Fastjson反序列化漏洞
一、fastjson简介fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方
一级必杀,防不胜防的漏洞,WEB安全基础入门—文件上传漏洞
文件上传漏洞指缺失或可绕过对拟上传文件的名字、类型、内容或大小进行验证。导致实际可上传恶意文件,如脚本或木马。造成远程命令执行、敏感信息泄露等危害。
CISP-PTE实操练习题讲解二(新版)
CISP-PTE实操练习题讲解二(新版)
网络攻防技术——缓冲区溢出攻击实验
一、题目本实验的学习目标是让学生将从课堂上学到的有关缓冲区溢出漏洞的知识进行实践,从而获得有关该漏洞的第一手经验。缓冲区溢出是指程序试图将数据写入预先分配的固定长度缓冲区边界之外的情况。恶意用户可利用此漏洞改变程序的流控制,甚至执行任意代码。此漏洞是由于数据存储(如缓冲区)和控件存储(如返回地址)的
Goby教程(下载、安装、使用)
一、Goby下载官网下载地址:Goby - Attack surface mappingGoby主要特性:实战性:Goby并不关注漏洞库的数量有多么多,而是关注真正用于实际攻击的漏洞数量,以及漏洞的利用深度(最小精准集合体,打造权威性);体系性:打通渗透前,渗透中,以及渗透后的完整流程完整DOM事件
【网络安全】Web安全渗透三大核心方向
Web安全渗透三大核心方向
针对Vue框架渗透测试-未授权访问目录漏洞【渗透实战+工具开发】
针对vue框架渗透测试,vue漏洞,vue未授权访问目录漏洞复现和实战,针对vue未授权目录访问漏洞的安全工具开发,javafx漏洞扫描工具开发。
web安全之信息收集
web安全之信息收集,包括网络拓扑信息,网站IP信息,域名信息,其中域名信息包括指纹识别,备案信息等同时包括证书检测和CDN检测等,以及前后端框架检测,语言判断,操作系统判断,社会工程学等
XXE漏洞中DOCTYPE、ENTITY傻傻分不清-WEB安全基础入门—XML外部实体注入(XXE)
XML外部实体注入(XXE)WEB安全系列包括如下三个专栏:《WEB安全基础-服务器端漏洞》《WEB安全基础-客户端漏洞》《WEB安全高级-综合利用》知识点全面细致,逻辑清晰、结合实战,并配有大量练习靶场,让你读一篇、练一篇,掌握一篇,在学习路上事半功倍,少走弯路!欢迎关注订阅专栏!专栏文章追求对知
sql-labs靶场环境搭建(手把手教你如何搭建)
sqli-labs介绍SQLI-LAB下载地址:https://github.com/Audi-1/sqli-labsWEB环境搭建:在安装靶场之前,我们还需要搭建web运行环境:这里直接使用phpstudy进行搭建,phpStudy是一个PHP调试环境的程序集成包。安装后一键启动即可运行web环境
反序列化漏洞详解
目录一、什么是序列化和反序列化二、什么是反序列化漏洞三、序列化函数(serialize)四、反序列化(unserialize)五、什么是PHP魔术方法六、一些常见的魔术方法七、魔术方法的利用八、反序列化漏洞的利用1.__destruct()函数2.__wakeup()3.toString()九、
文件上传绕过安全狗WAF实战
今天继续给大家介绍渗透测试相关知识,本文主要是文件上传绕过安全狗WAF实战。一、环境搭建二、绕过思路三、绕过实战
[ 网络安全基础篇 ]常见 Web 漏洞的描述及其修复建议(相对全面)
🍬 博主介绍👨🎓 博主介绍:大家好,我是_PowerShell,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋 🙏作者水平
【网络安全】利用burp进行爆破(普通爆破+验证码爆破)
黑客爆破手法
【云原生系列】云原生下的网络安全如何防御?
云原生下的网络安全如何防御? OneDNS来解决!
python实现AES加密
目录1.AES加密2.需要导入的模块3.定义好全局变量4.编写加密函数5.将密文解密6.完整代码1.AES加密AES的区块长度固定为128 比特,密钥长度则可以是128,192或256比特;AES有多种加密模式,其中CBC分组模式是SSL、IPSec的标准。使用CBC加密模式时需要提前给出一段初始化
网络安全攻防之破解小程序积分制度(Fiddler抓包教程实战)【文末含彩蛋】
今天碰到一个微信公众号的的某个积分制功能:简单介绍就是你阅读文章可以刷积分,然后也可以使用积分,正好前段时间接触到了Fiddler(抓包神奇),想利用一下,把请求给修改了,从而增加自己的累计积分。这就是那个程序的界面,点击【我要阅读】,阅读文章后就可以增加学分,【互助发布】中可以消耗积分。仅供娱乐学
能把百度玩出花样的人肯定不简单,分享几个鲜为人知的搜索引擎高级语法
简单的百度搜索,也能玩出花样来。
SQL注入详解
SQL注入详解1.SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器
内网渗透神器:fscan使用攻略
1.简介Fscan是一款内网综合扫描工具,它非常的方便,一键启动,之后完全自动化、并且全方位漏洞扫描。它支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。这
