目录穿越(目录遍历)总结
前言 在前段时间省级hw期间,这个漏洞还是暴漏的不少的,并且危害不小;然后就通过这篇文章记录一下关于这个洞的一些细节。 nginx目录穿越 在nginx配置中,有一个关键字autoindex。他的作用就是是否开启目录浏览;也就是是否能看到目录下的文件。 &n
云主机SK/AK泄露利用
前言 昨天看了一份hw报告,其中是对云主机泄露了AK/SK的利用,之前没有接触过。今天来学习记录一下。本文章主要讲理论和一些工具介绍以及如何防护。 介绍 什么是SK/AK 云主机通过
java安全CC6链分析
前言 前面已经分析过了cc1链子,但是这个链子有jdk限制,在Java 8u71以后,这个链子就不能再利用了。主要是因为sun.reflect.annotation.AnnotationInvocationHandler#readObject里面逻辑变换了,没有setValue了。 而这篇文章要分析
java安全CC1链分析
1.前言 Apache Commons Collections 是 Apache 软件基金会的一个子项目,提供了许多有用的 Java 集合框架的实现和扩展。它旨在填补 Java 标准类库中集合框架的一些不足,并提供了一系列的集合实现和工具类,以帮助开发者更加方便地处理集合数据。 2.环境准备 影响版
批量网站sec权重查询小工具
前言 好久没更新文章了0-0,(水篇文章) 最近在努力探究java安全(太难了ww),还接触了src漏洞挖掘。大多都是0权重的网站,但是有的平台不要0权重的网站,有的平台要。于是就有了个想法,自己写一个网站seo批量查询的脚本工具,脚本不算太难,练练手 hh 为以后漏洞复现打下编写脚本的能力。 [脚
Nodejs vm沙箱逃逸
.. 基本概念 什么是沙箱(sandbox)当我们运行一些可能会产生危害的程序,我们不能直接在主机的真实环境上进行测试,所以可以通过单独开辟一个运行代码的环境,它与主机相互隔离,但使用主机的硬件资源,我们将有危害的代码在沙箱中运行只会对沙箱内部产生一些影响,而不会影响到主机上的功能,沙箱的工作机制主
java序列化和反序列化基础
1.序列化和反序列化 序列化:对象序列化的最主要的用处就是在传递和保存对象的时候,保证对象的完整性和可传递性。序列化是把对象转换成有序字节流,以便在网络上传输或者保存在本地文件中。核心作用是对象状态的保存与重建。 反序列化:从本地或者网络上获取经过序列化的对象字节流,通过反序列化重建对象。 为什么要