12 2021 档案
摘要:csrf介绍 跨站点请求伪造 (CSRF) 是一种攻击类型,当恶意网站、电子邮件、博客、即时消息或程序导致用户的 Web 浏览器在用户通过身份验证时在受信任站点上执行不需要的操作时,就会发生这种攻击。CSRF 攻击有效,因为浏览器请求会自动包含所有 cookie,包括会话 cookie。因此,如果用
阅读全文
摘要:xss是什么? 跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 xss的作用 1、盗用cookie,获取敏感信息。可通过盗用cookie,以
阅读全文
摘要:java的sql注入一般是在两个场景下会产生,一个是JDBC未对参数进行过滤,一个是对mybatis使用${}来进行传参。让我们先来了解一下JDBC。 在几年前框架还未盛行的时候,很多cms和项目都是采用JDBC进行数据库连接和获取数据的。在使用JDBC时,代码中如果存在拼接SQL语句,就有可能产生
阅读全文
摘要:Java反射机制 Java反射机制的核心是在程序运行时动态加载类并获取类的详细信息,从而操作类或对象的属性和方法。本质是JVM得到class对象之后,再通过class对象进行反编译,从而获取对象的各种信息。 而在一个对象或者方法的作用域是default或private时,我们是无法进行直接的调用的,
阅读全文
摘要:Java命令执行的方式 在最开始的时候,还不懂java代码就去复现了fastjson的反序列化漏洞,发现真的是晦涩难懂。好在后面学了java基础、web开发和框架的相关内容,才能读懂部分。所以建议初学者还是要一步步学习,从最开始的java基础代码,包括JDBC、多线程、IO、泛型、java反射机制等
阅读全文
摘要:直接进去ysoserial的URLDNS利用链条,可以看到主要是一个getObject的方法。 使用了URLStreamHandler类来进行网络连接和获取地址。 new了一个hashmap的对象,看hashmap的readobject方法。 private void readObject(java
阅读全文
浙公网安备 33010602011771号