0x01: 一、什么是序列化与反序列化? Java序列化是指把 Java 对象转换为字节序列的过程; Java反序列化是指把字节序列恢复为 Java 对象的过程; 漏洞挖掘位置:白盒(以实际情况做参考) 0x02: 一个类的对象要想序列化成功,必须满足两个条件: 1:该类必须实现 java.io.S ...
分类:
其他好文 时间:
2021-06-02 18:43:15
阅读次数:
0
前言 好久没有写博客了,本文主要是对网上文章的总结篇,主要是将安装和运行代码做了一次真机实验,亲测可用。文章内包含的脚本和代码,多来自于网络,也有我自己的调整和配置,文章末尾对参考的文献做了列举,方便大家参考。 过程很简单,一路next往下看和操作即可,文章不对脚本和代码做原理解释,某些注意点加了红 ...
分类:
系统相关 时间:
2021-06-02 13:27:20
阅读次数:
0
SQL注入的问题 SQL存在漏洞,会被攻击导致数据泄露。 SQL注入测试类: import com.qsy.lesson02.utils.JdbcUtils; import java.sql.Connection; import java.sql.ResultSet; import java.sql ...
分类:
数据库 时间:
2021-06-02 13:20:52
阅读次数:
0
11-1.逻辑漏洞-订单金额任意修改1)逻辑漏洞介绍逻辑漏洞挖掘一直是安全测试中"经久不衰"的话题。相比SQL注入、XSS漏洞等传统安全漏洞,现在的攻击者更倾向于利用业务逻辑层的应用安全问题,这类问题往往危害巨大,可能造成了企业的资产损失和名誉受损,并且传统的安全防御设备和措施收效甚微。在存在功能性 ...
分类:
其他好文 时间:
2021-06-02 12:23:41
阅读次数:
0
恢复内容开始 OWASP 官网:http://www.owasp.org.cn/ OWASP TOP10 指出了 WEB 应用面临最大风险的 10 类问 题,是目前 WEB 应用安全方面最权威的项目。 OWASP 是一个开源的、非盈利全球性安组织,致力于应用软件的安全研究。 OWASP 的使命是应用 ...
分类:
Web程序 时间:
2021-06-02 12:20:15
阅读次数:
0
1.将抓包到的request请求内容复制到一个文本文件 扫描接口是否有注入漏洞: sqlmap.py -r C:\Users\qiuro\Desktop\sqlmap.txt 查询对应的库名: sqlmap.py -r C:\Users\qiuro\Desktop\sqlmap.txt -dbs 2 ...
分类:
数据库 时间:
2021-06-02 11:55:15
阅读次数:
0
现象描述 微信支付支持两种接入支付方式:app支付接入和网页支付接入。 华为手机目前不支持app支付,如果您的快应用仅在华为推广,请勿接入app支付。以下仅说明H5网页支付方式。 问题分析 【注意】从 1040 版本开始,网页支付将支持设置referer方式,此方式不再需要实现中间页,但原先需要实现 ...
分类:
微信 时间:
2021-06-02 11:27:14
阅读次数:
0
0x00 前言 什么是解析漏洞?为什么要学习解析漏洞?顾名思义,解析漏洞是服务器解析时产生的漏洞,是拿webshell时的关键点,如果网站存在解析漏洞,可显著增大hacker们的攻击面,而且,了解了解析漏洞,也会对文件上传,文件包含这类基础漏洞有更深的理解,比如有人做题不明白只是加了个\x00就让图 ...
分类:
Web程序 时间:
2021-06-02 11:19:05
阅读次数:
0
本期主题为调用System.exit()存在安全漏洞的相关介绍。 一、为什么调用System.exit()存在安全漏洞? J2EE应用程序调用System.exit(),会关闭其容器。 System.exit()其实是Java中结束进程的方法,调用它将关闭当前的JVM虚拟机。对于web应用程序来说, ...
分类:
其他好文 时间:
2021-06-02 11:07:38
阅读次数:
0
简介 本场景将指导你基于云效Codeup,1分钟左右即可自动检测出代码里的【源码漏洞】、【依赖包漏洞】、【敏感信息】等安全风险,并为你自动修复。 完成体验,还可领取cherry定制键盘、DDD高手进阶课等丰厚礼品,100%拿奖。 代码安全不用愁!云效Codeup为你守护。 前往【云效代码管理Code ...
分类:
其他好文 时间:
2021-06-02 11:01:34
阅读次数:
0
