探索高版本 JDK 下 JNDI 漏洞的利用方法
本文首发于跳跳糖社区https://tttang.com/archive/1405/前言高版本JDK在RMI和LDAP的trustURLCodebase都...
安全
log4j 漏洞一些特殊的利用方式
背景正愁本周没主题可写,结果两天前就曝了一个核弹级的漏洞“log4j RCE”,这两天官方的修补方案也逐渐完善。所以本篇就拿 log4j 作为主题讲一下我...
精确判断网站访问者是否是黑客的方法
burpsuite 是一个渗透测试中必备的抓包工具,几乎每个做渗透的都会用这个软件。对于一个网站来说,网站的访问者如果挂了 burpsuite 的代理来访...
HSQLDB 安全测试指南
1. 背景HSQLDB(HyperSQL DataBase) 是一个完全由Java编写的小型嵌入式数据库,因为它可以以文件或者内存的形式运行,不需要单独另...
SnakeYaml 反序列化的一个小 trick
背景这是我在做某个代码审计项目时遇到的场景,一个 yaml 解析的功能使用了 snakeyaml 来处理 yaml,snakeyaml 一般情况下是可以直...