安卓APP抓包解决方案(教程) 在我们日常的渗透测试工作中经常会发现手机APP抓取不到数据包的情况，本篇文章讲解的是通过postern代理软件来全局转发流量至charles联动BURP来对APP进行... 2022-11-8 14:36:0 | 阅读: 35 | 收藏 | xz.aliyun.com charles proxy 证书 postern 数据

CS的RCE利用研究 1.初步探索如何在Swing使用htmlhttps://docs.oracle.com/javase/tutorial/uiswing/components/h... 2022-11-8 10:52:0 | 阅读: 23 | 收藏 | xz.aliyun.com swing payload xlink batik

SpringBoot和SpringMvc中的Context 前言:自己在学习内存马的时候碰见了这两个东西,当时感觉被文章里面的ChildContext和RootContext搞的很混乱,所以自己决定单独去学学这两个对于Ch... 2022-11-8 10:19:0 | 阅读: 17 | 收藏 | xz.aliyun.com rootcontext

Apache Commons JXPath 远程代码执行(CVE-2022-41852) 2022-11-7 17:31:0 | 阅读: 14 | 收藏 | xz.aliyun.com

PostgresQL JDBC Drive 任意代码执行漏洞 CVE-2022-21724 JDBC Java 数据库连接，(Java Database Connectivity)是 Java 语言中用来规范客户端如何访问数据库的应用程序接口，具体讲就是通... 2022-11-7 16:22:0 | 阅读: 50 | 收藏 | xz.aliyun.com 数据 数据库 漏洞

从2022中科大hackgame web中学习pdflatex RCE和python反序列化 2022-11-7 11:16:40 | 阅读: 9 | 收藏 | xz.aliyun.com

shiro环境下的Servlet内存马注入踩坑日记 环境搭建本地搭建这里就直接使用1.2.4版本的shiro环境下载连接选择1.2.4版本的源码就行了(不管用git或者直接下载zip包)直接打开该maven项... 2022-11-7 11:9:31 | 阅读: 25 | 收藏 | xz.aliyun.com catalina getfield

最近碰到的 Python pickle 反序列化小总结 pickle 基础pickle 是一种栈语言，有不同的编写方式，基于一个轻量的 PVM（Pickle Virtual Machine）。指令处理器从流中读... 2022-11-7 10:3:0 | 阅读: 19 | 收藏 | xz.aliyun.com pickle python builtins tuple setstate

利用Selenium绕过前端js加密及验证码爆破 Selenium可以模拟真实用户对URL中的元素进行操作。部分网站采用了一些流量校验算法，会将数据包中的进行加密，然后与计算出来的值进行比对，如果不能解密就加密的... 2022-11-5 21:35:0 | 阅读: 50 | 收藏 | xz.aliyun.com webdriver selenium passwords 浏览器 爆破

一些BAT的XSS实例（八）CSP篇 前言之前发了《一些BAT的XSS实例》系列的6篇技术文章，很多朋友表示看的意犹未尽，问我还有没有续集。刚好最近gainover和香草发了我了几个题说挺有意思，我就去... 2022-11-5 21:17:0 | 阅读: 30 | 收藏 | xz.aliyun.com php 3cscript px 22px px1624

OpenRASP浅析 最近在学习RASP相关内容，正好OpenRASP开源，大概分析了一下流程。参考了网上师傅们的分析加上自己的理解就有了这篇文章。如有错误或不足，还望指正。RASP技术... 2022-11-5 13:27:0 | 阅读: 29 | 收藏 | xz.aliyun.com openrasp ctclass 安全 攻击

最近遇到的Linux内核内存取证小分析 Volatility2 下的 profile 制作过程就不写了，提一句，vol2建议用CentOS 7来制作相应文件，不然在其他 Linux 系统（例如Ubunt... 2022-11-4 02:52:0 | 阅读: 37 | 收藏 | xz.aliyun.com volatility3 volatility lime yunwei 符号表

webpagetest反序列化及ssrf漏洞分析 WebPageTest是一款非常专业的 Web 页面性能分析工具,它可以对检测分析的环境配置进行高度自定义化。2022年9月23日互联网上公开WebPageTest... 2022-11-4 01:17:0 | 阅读: 37 | 收藏 | xz.aliyun.com testpath rkey testinfo setopt curlopt

LOLBIN-使用卡巴斯基终端“KES”安装程序执行任意命令 卡巴斯基标志介绍今年年初，我正在对AV卸载程序工具进行一些研究，了解它们的工作原理，并试图找到错误配置和其他可能被滥用的方式，我已经在知识库中汇总了我的发现，它... 2022-11-4 00:11:0 | 阅读: 26 | 收藏 | xz.aliyun.com kes cleanapi 二进制 kavremover 安全

一些BAT的XSS实例（七）技巧篇 前言之前发了《一些BAT的XSS实例》系列的6篇技术文章，很多朋友表示看的意犹未尽，问我还有没有续集。刚好最近gainover和香草发了我了几个题说挺有意思，我就去... 2022-11-3 16:14:0 | 阅读: 48 | 收藏 | xz.aliyun.com opener sinaapp px1624 payload xsstest14

Chrome扩展安全开发从零到一 [TOC]理论基础Chrome扩展一般指通过Chrome提供的API进行编程，自定义处理一些浏览器的行为或功能的软件。常用的浏览器Chrome、新版Edge... 2022-11-3 12:0:20 | 阅读: 31 | 收藏 | xz.aliyun.com chrome 脚本 浏览器 popup 注入

Tenda AC系列路由器固件模拟分析及栈溢出漏洞分析 1.概述分析了一部分tenda的漏洞，发现存在一系列相似的栈溢出的漏洞，如CVE-2018-5767、CVE-2018-18708、CVE-2018-16333以... 2022-11-3 11:30:0 | 阅读: 55 | 收藏 | xz.aliyun.com 漏洞 网络 gadget2 固件 br0

浅析NodeJS 最近在看NodeJS的漏洞，进行相关总结。以下不对每一条链进行剖析，只给出相关利用方法。如果有错误，还请各位师傅指正。介绍简单的说 Node.js 就是运行在... 2022-11-2 15:56:0 | 阅读: 24 | 收藏 | xz.aliyun.com sourceurl mainmodule execsync 模块 opts

API安全漏洞靶场crapi的基本介绍和解题思路-第二篇 本文主要介绍api安全漏洞相关基础知识介绍和后七题的解题过程。crapi是一个供车主注册和管理车辆的平台，是一个易受攻击的应用程序，crapi是一个用于学习和实践... 2022-11-2 14:33:55 | 阅读: 41 | 收藏 | xz.aliyun.com 攻击 漏洞 数据 注入 ssrf

一些BAT的XSS实例（六）续集篇 前 言之前发表了《一些BAT的XSS实例》系列五篇技术文章：《一些BAT的XSS实例（一）基础篇》《一些BAT的XSS实例（二）进阶篇》《一些BAT的XSS实例（... 2022-11-2 12:36:0 | 阅读: 27 | 收藏 | xz.aliyun.com xsstest12 xsstest11 sinaapp px1624 2ftest