摘要： 报该错误的（搞了很久）： Exception in thread "main" com.sun.tools.attach.AgentInitializationException: Agent JAR loaded but agent failed to initialize at sun.tool 阅读全文

摘要： SSRF(Server-Side Request Forgery 服务器端请求伪造)作用：利用漏洞伪造服务器端发起请求，从而突破客户端获取不到数据的限制 应用场合： 漏洞利用： 以上都是发送GET请求进行利用的如果内网站点的漏洞在POST请求的参数中又或者在Request header中的某个字段里 阅读全文

摘要： XXE（XML External Entity 外部实体注入） DTD（Document Type Definition 文档类型定义）用来为XML文档定义语义约束，可以嵌入在XML文档中（内部声明）也可以独立的放在一个文件中（外部引用），由于其支持的数据类型有限，无法对元素或属性的内容进行详细规范 阅读全文

摘要： 序列化 序列化是把对象转换为字节流，以便于保存在内存、文件、数据库中。反序列化则是相反的过程，将字节流还原为对象，Java中的ObjectOutputStream类的writeObject()方法用于序列化，类ObjectInputStream类的readObject()方法用于反序列化，如果Jav 阅读全文

摘要： CSRF（跨站请求伪造）也称XSRF CSRF（跨站请求伪造）也称XSRF 作用：通过诱导已登陆重要站点的用户向危险的链接进行访问来模拟用户的行为进行攻击 根源：Web的隐式身份验证机制虽然保证了请求来自于某个用户的浏览器，却无法保证该请求得到了该用户的批准 应用场景：任何用户的操作行为例如转账、购 阅读全文