【vulhub漏洞复现】Fastjson 1.2.24反序列化漏洞
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象。漏洞成因:目标网站在解析 json 时,未对 json 内容进行验证,直接将 json 解析成 java 对象并执行,攻击者构造对应的 payload ,让系统执行
CVE-2021-3156 漏洞复现笔记
CVE-2021-3156复现笔记
利用Cookie劫持+HTML注入进行钓鱼攻击
HTML注入漏洞一般是由于在用户能够控制的输入点上,由于缺乏安全过滤,导致攻击者能将任意HTML代码注入网页。此类漏洞可能会引起许多后续攻击,例如当用户的会话cookie被泄露时,攻击者可以利用这些cookie非法修改其他用户的个人页面。会话劫持攻击一般涉及Web会话控制原理,其中最主要的是会话令牌
Weblogic 常见漏洞汇总
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全
常见的中间件漏洞
常见的中间件漏洞
HTTPS详解(原理、中间人攻击、CA流程)
浏览器能通过本地CA根证书的发行机构公钥对网站服务器的CA证书验签,验证通过后就可以获取服务器CA证书里的服务器公钥,用该公钥对对称密钥X进行加密。4、中间人截取到数据,将密钥X用中间人生成的私钥B解密,再解密的数据,获取到通信明文数据!1、浏览器获取服务器传来的CA证书后,浏览器用本地同发行机构的
Log4j2远程代码执行漏洞复现(cve-2021-44228)
Log4j2远程代码执行漏洞(cve-2021-44228)复现笔记内容Apache log4j是Apache的一个开源项目,Apache log4j 2是一个就Java的日志记录工具。通过重写了log4j框架,并且引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应
Burp suite遇到的常见问题
建立安全连接失败,burp数据包也一直抓不到,显示ipv4,ipv6这类东西。 1,在burp生成证书 2、选择生成路径3、导出成功 4、火狐浏览器导入刚才的CA.der证书即可 5、全部选择信任 6、可以正常抓包注意导出的证书是不是0字节。有时候会是空的。....................
可搜索加密简要介绍与相关概念
本篇博客整理了一些可搜索加密的相关概念。最近一段时间看的论文主要集中在对称可搜索加密的方向,所以涉及这方面的概念会多一些。包含以下内容:可搜索加密 SE陷门 trapdoor对称可搜索加密 SSE前后向安全 FP & BP穿刺加密 PE文件注入攻击统计推理攻击不经意随机访问机 ORAM同态加密 HE
linux下最全抓包命令使用方式学习和拓展
为什么要抓包?抓包有什么作用?抓包的好处:1,分析出当前服务器存在的漏洞,接口参数,防盗链,流量工具,ip伪造,参数篡改,钓鱼网站等。抓包的作用:端到端联调,包括不限制语言的参数请求,只要走upd,http协议。万物皆可抓、举个例子抓包的应用场景:网络传输,特殊协议,特殊场景,比如公安的视图库,国标
像素旋转:一种在加密图像中实现安全的可逆数据隐藏方案
一种加密后嵌入数据的可逆数据隐藏方案
维吉尼亚密码
明文第一个字母是“I”,密钥第一个字母是“O”,在表格中找到“I”列与“O”行的相交点,字母“W”就是密文的第一个字母。同理,“L”列与“K”行交点字母是“V”。首先,密钥长度需要与明文长度相同,如果少于明文长度,则重复拼接直到长度相等。密文P对应密钥W,在密码表中找出W行为P的列,沿着这一列向上找
springboot 实现Http接口加签、验签操作
java sign签名认证
在线支付系列【3】支付安全之对称和非对称加密
`支付`和金钱挂钩,`支付安全`显得尤为重要,**微信、支付宝**等第三方支付公司,为了确保支付安全问题,都下足了不少功夫,其底层还是和`信息安全`密切挂钩,所以在这之前,我们需要了解各种安全机制,才能更好地了解支付流程和安全性问题。
binwalk远程命令执行漏洞原理以及演示 CVE-2022-4510
PFS文件是由PhotoFiltre Studio(图像修饰程序)创建的选择文件。它包含图像编辑器的多边形选择工具使用的坐标,以便在给定坐标之间绘制线。PFS文件以纯文本格式存储。PFS文件格式今年1月31号才披露细节的cve,学习了一下。
火绒安全安装教程
火绒安全安装教程一款优秀的电脑安全软件,几乎可以屏蔽所有弹窗、广告,并且还有杀毒、清理垃圾等功能1、在电脑浏览器中打开下载地址https://www.huorong.cn/单击火绒安全软件(个人用户)“免费下载”即可(见下图)如果下载之后找不到的位置,可以单击右上角的三个点找到下载即可3、打开文件,
包解决vulnhub靶机获取不到IP地址
vulnhub靶机获取不到IP地址很多解决方法都能找到,但是最终我还是没有获取到靶机ip,所以自己研究了下,搞了好久终于搞出来了
PE头解析-字段说明
Windows平台:PE(Portable Executable)文件结构Linux平台:ELF(Executable and Linking Format)文件结构。
百度安全在线查询提示风险原因分析与解决思路
因为第一次“申请解封”,处理时间为2个工作日,如果“未通过审核”,百度网址安全中心会对你网站进行“惩罚”,这个“惩罚期”可能是7天左右,也就是说你再次“申请解封”,百度网址安全中心会在7天之后给你再次检测。这时我们一定要把网站所有的“友情链接网站”,“网站内容外部链接地址”都拿到百度网址安全中心网站
