• 分类
  • 归档
  • 友情链接
  • 关于我
最新文章

探索高版本 JDK 下 JNDI 漏洞的利用方法

本文首发于跳跳糖社区https://tttang.com/archive/1405/前言高版本JDK在RMI和LDAP的trustURLCodebase都...
代码审计 2022-01-17 21:57:00

这篇关于 log4j 漏洞的文章太水了不配拥有标题

背景由于上周偷懒没写文章,要把上周没写的文章在这周补上,所以本文就写一些前段时间的小发现,没啥特别的。自从 log4j 漏洞被引起广泛关注后国内外黑客们纷...
默认分类 2021-12-25 21:42:53

log4j 漏洞一些特殊的利用方式

背景正愁本周没主题可写,结果两天前就曝了一个核弹级的漏洞“log4j RCE”,这两天官方的修补方案也逐渐完善。所以本篇就拿 log4j 作为主题讲一下我...
漏洞 2021-12-11 15:30:00

fastjson 读文件 gadget 的利用场景扩展

前言一年过去了发现博客只写过两篇文章,没别的原因就是因为懒,朋友说要监督我一周写一篇文章,写不出来就请客,现在期限将至,所以才有了这篇文章。正好最近朋友有...
默认分类 2021-12-04 22:26:00

精确判断网站访问者是否是黑客的方法

burpsuite 是一个渗透测试中必备的抓包工具,几乎每个做渗透的都会用这个软件。对于一个网站来说,网站的访问者如果挂了 burpsuite 的代理来访...
渗透测试 2021-05-19 19:51:00

HSQLDB 安全测试指南

1. 背景HSQLDB(HyperSQL DataBase) 是一个完全由Java编写的小型嵌入式数据库,因为它可以以文件或者内存的形式运行,不需要单独另...
漏洞,安全 2020-12-29 14:17:00

SnakeYaml 反序列化的一个小 trick

背景这是我在做某个代码审计项目时遇到的场景,一个 yaml 解析的功能使用了 snakeyaml 来处理 yaml,snakeyaml 一般情况下是可以直...
安全 2020-12-06 12:20:00

fastjson 获取精确版本号的方法

背景上个月天天打游戏一直没更文,也没啥研究成果,这次就随便发点小技巧。没有技术含量,但在某些场景下也是可以运用得到。目前来看是可以影响到最新版本(1.2....
默认分类 2020-08-09 13:56:00
  1. 1
  2. 2
  3. 3
  4. ...
  5. 8
  6. →
关于博主
浅蓝

不会就学,不懂就问

了解更多