pickle 模块可以对一个 Python 对象的二进制进行序列化和反序列化。说白了,就是它能够实现任意对象与二进制直接的相互转化,也可以实现对象与文本之间的相互转化。 比如,我程序里有一个 python 对象,我想把它存到磁盘里,于是我用 pickle 把他转到一个文本里。当后面我想使用的时候,读 ...
分类:
编程语言 时间:
2021-07-28 21:34:14
阅读次数:
0
最近做专心web安全有一段时间了,但是目测后面的活会有些复杂,涉及到更多的中间件、底层安全、漏洞研究与安全建设等越来越复杂的东东,所以在这里想写一个系列关于web安全基础以及一些讨巧的payload技巧以便于备忘。不是大神、博客内容非常基础,如果真的有人看而且是大牛们,请不要喷我,欢迎指正我的错误( ...
分类:
Web程序 时间:
2021-07-19 16:56:28
阅读次数:
0
java的安全问题首屈一指的就是反序列化漏洞,可以执行命令啊,甚至直接getshell,所以趁着这个假期好好研究一下java的反序列化漏洞。另外呢,组里多位大佬对反序列化漏洞都有颇深的研究,借此机会,努力学习,作为狼群中的哈士奇希望成功的继续伪装下去,不被识破,哈哈哈哈!!! 参考文档:感谢所有参考 ...
分类:
编程语言 时间:
2021-07-19 16:56:13
阅读次数:
0
前言 phar反序列化漏洞很久之前就开始接触了;因为当时出了点问题导致一直无法成功,所以当时直接去学习其他的漏洞了;今天觉得是时候把这个漏洞补上去了; 漏洞成因 phar文件会以序列化的形式存储用户自定义的meta-data;该方法在文件系统函数(file_exists()、is_dir()等)参数 ...
分类:
其他好文 时间:
2021-07-15 19:01:07
阅读次数:
0
简介 漏洞环境:不另作说明均为vulhub 菜鸟链接:https://www.runoob.com/w3cnote/fastjson-intro.html GitHub:https://github.com/alibaba/fastjson fastjson是阿里巴巴的开源JSON解析库,它可以解析 ...
分类:
Web程序 时间:
2021-07-12 17:41:27
阅读次数:
0
暑假学习Flag 系统学习python爬虫,常见库(request,re,threading) 系统学习node.js 刷完所有一分BUU 审计基本的php通用cms漏洞(tp,laravel,托纳多),争取获取一个CNVD 系统学习网络 看3本课外小说 不要浪费感情在不需要的地方了吧,减少无用社交 ...
分类:
其他好文 时间:
2021-07-06 16:23:59
阅读次数:
0
升级版本的原因,是安全漏洞扫描出了高危漏洞; 漏洞的描述大概是这么个意思: 服务器本身运行的openssh服务版本低,并且开启了scp,需要升级最新版(最新版居然也解决不了scp的问题); 同时需要禁用scp,可以临时开启rsync来替代(其实就关闭scp就完事了rsync也不开了...,不过若有需 ...
分类:
其他好文 时间:
2021-07-05 18:49:06
阅读次数:
0
网络扫描工具Nmap常用命令 Nmap是一款知名的网络安全审计工具。它免费、开源,可以快速完成各种网络审计功能。它提供了多种探测方式,基于各种网络协议规范,可以发现网络设备并探测设备的各种常见端口。利用内置的大量探针,他还可以验证目标的操作系统类型和服务类型。同时,Nmap集成了几百个NSE脚本,用 ...
分类:
其他好文 时间:
2021-07-05 17:31:39
阅读次数:
0
无论学习任何漏洞,都要明白一句话:函数决定漏洞性质,变量决定存不存在漏洞 一,本质 1,漏洞函数:$sql="select * from sys_article where id = $id" 2,可控变量:$id=$_GET['id'];(其它层面的先不考虑) 3,保护: 过滤关键字,进行函数判断 ...
分类:
数据库 时间:
2021-07-05 17:05:47
阅读次数:
0
文献: Towards Balanced Defect Prediction with Better Information Propagation - AAAI 2021 1 背景 为发现的漏洞对软件安全和质量造成巨大影响,所以漏洞预测模型对软件生态具有重要意义。 2 动机 目前使用DL模型进行漏 ...
分类:
其他好文 时间:
2021-06-30 18:22:39
阅读次数:
0
