摘要:
本博客不再更新,已转向新的地址 https://kevien.github.io/ 阅读全文
摘要:
0x01 Brief Description java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjson,fastjson是阿里巴巴一个开源的json相关的java library,地址在这里,https://github.com/al 阅读全文
摘要:
0x01 简述 文章主要记录一下python高级特性以及安全相关的问题 python作为脚本语言,其作为高级语言是由c语言开发的,关于python的编译和链接可以看向这里https://github.com/python/cpython(建议自己读读源码,可以更好的理解python的语言特性等。) 阅读全文
摘要:
0x01 前言 前几天刚分析完s2-032这个漏洞,今天又爆发了一个s2-045的漏洞,又是直接的命令执行,影响了struts2绝大多数的版本. 官方给的漏洞公告在这里 https://cwiki.apache.org/confluence/display/WW/S2-045 受影响版本:Strut 阅读全文
摘要:
0x01Brief Description 最近面试几家公司,很多都问到了s2漏洞的原理,之前调试分析过java反序列化的漏洞,觉得s2漏洞应该不会太难,今天就分析了一下,然后发现其实漏洞的原理不难,但是搭建j2ee调试的环境花了将近半天的时间QAQ. Struts 是Apache软件基金会(ASF 阅读全文
摘要:
0x01 简介 什么是nodejs,it's javascript webserver! JS是脚本语言,脚本语言都需要一个解析器才能运行。对于写在HTML页面里的JS,浏览器充当了解析器的角色。而对于需要独立运行的JS,NodeJS就是一个解析器。 每一种解析器都是一个运行环境,不但允许JS定义各 阅读全文
摘要:
0x01 简介 有人称它为“钩子”,有人称它为“挂钩”技术。谈到钩子,很容易让人联想到在钓东西,比如鱼钩就用于钓鱼。编程技术的钩子也是在等待捕获系统中的某个消息或者动作。钩子的应用范围非常广泛,比如输入监控、API拦截、消息捕获、改变程序执行流程等方面。杀毒软件会用Hook技术钩住一些API函数,比 阅读全文
摘要:
0x01简介 浏览器的同源策略,限制了来自不同源的“document”或者脚本,对当前“document”读取或设置某些属性,这一策略非常重要,试想如果没有同源策略,可能a.com的一段JavaScript脚本,在b.com 未曾加载此脚本时候,也可以随意修改b.com的页面(在客户端浏览器的显示中 阅读全文