Highness_DragonFly

摘要： 在前司写的办公安全要求，主要面向全体员工而非专业人士，公司规模中等，有类似需求的朋友可以参考一下。 目录 一、 目的 3 二、 适用范围 3 三、 员工办公安全准则 3 信息安全准则 3 1.1 人事安全 3 1.2 数据安全 4 1.3 账号安全 5 网络连接与使用规范 5 2.1 办公电脑连接规 阅读全文

摘要： 初识Rasp——Openrasp代码分析 @author：Drag0nf1y 本文首发于奇安信安全社区，现转载到个人博客。 原文链接： https://forum.butian.net/share/1959 什么是RASP？ Rasp的概念 ​ RASP(Runtime application se 阅读全文

摘要： 0x1 缓冲区溢出漏洞攻击简介 缓冲区溢出攻击是针对程序设计缺陷，向程序输入缓冲区写入使之溢出的内容（通常是超过缓冲区能保存的最大数据量的数据），从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。 缓冲区溢出中，最为危险的是堆栈溢出，因为入侵者可以利用堆栈溢出，在函数返回时改变返回程序的 阅读全文

摘要： JSP Webshell免杀设计 @author：drag0nf1y 介绍 什么是Webshell？ 被服务端解析执行的php、jsp文件 什么是RCE？ remote command execute remot code execute Java没有eval这样的函数，只能执行命令，想要执行代码可 阅读全文

摘要： 漏洞描述： Springmvc框架参数绑定功能，绑定了请求里的参数造成变量注入，攻击者可以实现任意文件写入，漏洞点spring-beans包中。 漏洞编号： CVE-2022-22965 影响范围： JDK>=9 spring < 5.3.18 or spring < 5.2.20 tomcat 前 阅读全文

摘要： 群里大佬们打哈哈的内容，菜鸡拿出来整理学习一下，炒点冷饭。 主要包含以下三个部分： jndi注入原理 jndi注入与反序列化 jndi注入与jdk版本 jndi注入原理： JNDI（Java Name and Dictionary Interface Java名称与目录接口）,一套JavaEE的标准 阅读全文

摘要： 本文首发于云影实验室，为本人创作，现转载到个人博客，记录一下。 原文链接：https://mp.weixin.qq.com/s/O2xHr2OEHiga-qTnbWTxQg Apache Log4j是Apache的一个开源项目，是一个基于Java的日志记录工具，因其卓越的性能，使用极其广泛。近日该组 阅读全文

摘要： 先说一句，这傻x洞能给cve就离谱，大半夜给人喊起来浪费时间看了一个小时。 先说利用条件： 需要加载“特定”的配置文件信息，或者说实际利用中需要能够修改配置文件(你都能替换配置文件了，还要啥log4j啊)。 然后因为log4j2.17.0已经实际上默认关闭了jndi的使用，还需要对方真的手动打开这个 阅读全文

摘要： 之前看到群里有人问JWT相关的内容，只记得是token的一种，去补习了一下，和很久之前发的认证方式总结的笔记放在一起发出来吧。 Cookie、Session、Token与JWT(跨域认证) 什么是Cookie？ HTTP 是无状态的协议（对于事务处理没有记忆能力，每次客户端和服务端会话完成时，服务端 阅读全文

摘要： fastjson 1.2.24反序列化漏洞复现 先写一个正常的使用 fastjson的web服务 我们使用 springboot创建 主要是pom.xml 里面要添加fastjson fastjson要求小于等于 1.2.24 <dependency> <groupId>com.alibaba</g 阅读全文