Nbc

摘要： 新博客地址：Nbc (nbcares.top) 阅读全文

摘要： Java安全_反射 Java安全可以从反序列化漏洞开始说起，反序列化漏洞⼜可以从反射开始说起。 反射是⼤多数语⾔⾥都必不可少的组成部分，对象可以通过反射获取他的类，类可以通过反射拿到所有 ⽅法（包括私有），拿到的⽅法可以调⽤，总之通过“反射”，我们可以将Java这种静态语⾔附加上动态特性 什么是反射 阅读全文

摘要： # 前言 随着学习向前，遇到的新知识点，也就是对以前反序列化学习的内容补充 # PHP Phar反序列化 ## 什么是Phar Phar是PHP的压缩文档，是PHP中类似于JAR的一种打包文件。它可以把多个文件存放至同一个文件中，无需解压，PHP就可以进行访问并执行内部语句。 默认开启版本 PHP 阅读全文

摘要： # Python反序列化的初学习 ## 在学习一个漏洞前必不能绕过的一个过程--了解为什么 ### 为什么要进行序列化 序列化是将数据结构或对象转换为可以在网络上传输、存储到文件或持久化保存的格式的过程。反之，反序列化是将序列化后的数据还原成原始数据结构或对象的过程。序列化在计算机编程和数据处理中起 阅读全文

摘要： # SSTI(Server-Side Template Injection)模板注入的初学习 # 前言 **就注入类型的漏洞来说，常见 Web 注入有：SQL 注入，XSS 注入，XML 注入，代码注入，命令注入等等。注入漏洞的实质是服务端信任了用户的输入，未过滤或过滤不严谨执行了拼接了用户输入的代 阅读全文