摘要： Java序列化与反序列化是让 Java 对象脱离 Java 运行环境的一种手段，可以有效的实现多平台之间的通信、对象持久化存储。 什么是序列化和反序列化 简单来说 就是把对象转换为字节序列（二进制），然后储存在内存中 对象 —— 数据 序列化依赖 ObjectOutputStream 类的 writ 阅读全文

摘要： XML外部实体注入 XML是什么 可扩展标记语言，被设计用来传输和存储数据。在HTML后开发，为了弥补HTML的不足，html专注于数据的显示，xml专注于数据的内容。 xml没有预定义的标签，创建的人可以自定义它自己的标签。 行1是xml的声明，定义了xml的版本和使用的编码。 handsup标签 阅读全文

摘要：  通达OA任意用户登录漏洞， 攻击者在远程且未授权的情况下，通过利用此漏洞，可以直接以任意用户身份登录到系统。 影响版本 版本 < v11.5 （截至目前最新版为11.5） 其中，v11.4版本添加了校验 漏洞原理 logincheck_code.php文件 第12行获取了UID参数，然后直接进行 阅读全文

摘要： WiFi破解基础教程，本文主要介绍aircreak ng工具的使用，以及相关参数解释。 准备工作 一个装有Kali的虚拟机，一个支持破解的无线网卡（这里我用的是RT5370），以及本教程 开始破解 首先用airmon ng检查网卡是否安装成功 接着用airmon ng check kill检查是否有 阅读全文

摘要： 听了思涛师傅关于ChromeDevtools的分享，做个笔记 首先讲一个挺重要的，添加UA 相信很多师傅更换UA都是用插件 当插件不可用时我们就可以利用开发者工具自带的模块进行设置 选择Elements模块 以及旁边的移动设备视图按钮 这里可以选择分辨率等参数 选择Edit 然后在下面选择Add 阅读全文

摘要： 2月20日，国家信息安全漏洞共享平台（CNVD）发布了Apache Tomcat文件包含漏洞（CNVD 2020 10487/CVE 2020 1938）。该漏洞是由于Tomcat AJP协议存在缺陷而导致，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp目录下的任意文件 （例如webap 阅读全文

摘要： 继S2 052之后，Apache Struts 2再次被曝存在远程代码执行漏洞，漏洞编号S2 053，CVE编号CVE 2017 1000112。 当开发人员在Freemarker标签中使用错误的构造时，可能会导致远程代码执行漏洞。 影响范围 Struts 2.0.1 Struts 2.3.33、 阅读全文

该文被密码保护。 阅读全文

摘要： cross site scripting 跨站脚本漏洞 c换成x是为了避免和css混淆 漏洞原理是网站将用户输入的内容输出到页面上，在这个过程中可能有恶意代码被浏览器执行 类型 存储型（持久） 可被web应用程序保存在数据库中，每一次被访问都会自动触发 反射型（非持久） 只存在于本地，不会自动触发， 阅读全文

摘要： SQL注入 按变量类型分：数字型和字符型 按HTTP提交方式分：POST注入、GET注入和Cookie注入 按注入方式分：布尔注入、联合注入、堆叠注入、报错注入、延时注入、内联注入 按数据库类型分： sql：oracle、mysql、mssql、access、sqlite、postgersql no 阅读全文