摘要:
java反序列化 前言之前我们大致学习了php反序列化的内容,本节我们来了解一下java反序列化 1.1 java反序列化基础 1 功能特性:不像php反序列化中将对象转换为字符串,在java中,对象序列化后的结果是字节流。在java中反序 列化操作一般应用在导入模板文件,网络通信,数据传输,日志格 阅读全文
摘要:
php 反序列化 1.0序列化与反序列化 序列化:将对象转化为数组或者字符串形式 反序列化:将字符串或数组转化成对象格式 php与序列化和反序列化有关的函数 serialize() 将一个对象转化为一个字符串 unserialize() 将一个字符串转化为一个对象 我们使用序列化操作的目的是方便数据 阅读全文
摘要:
文件包含基本知识和ctfshow 练习 2.0 前言:之前记录过文件包含漏洞的一些基础知识,这次在上次的基础上进行补充以及延申 1.0 文件包含漏洞的基础利用思路 1 配合文件上传进行getshell 2 配合日志文件进行getshell 3 配合session文件进行getshell 1.1 文件 阅读全文
摘要:
ctfshow XXE做题记录 1.0 web373 看一下过滤代码 error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(isset($xml 阅读全文
摘要:
常见网络数据加密方式 1.0 单向散列加密 这种加密方式的典型是MD5加密, 优点:方便存储,损耗低 缺点:存在暴力破解的可能 散列加密的特点就是从明文到密文的不可映射性,导致我们无法根据加密算法设计出解密算法 这种加密的解密方式就是明文到密文,密文有了,就可解密,复杂一点的密文解密可能失败 解密原 阅读全文
摘要:
ctfshow misc做题记录 1.0 misc5 用记事本打开,发现flag 1.1 misc 6 一样思路 1.2 misc 7 没区别 1.3 misc8 和之前有了点区别,没在文件里发现flag flag在图片文件中图片文件中。 这是提示,我们直接foremost分离 获得flag图片 1 阅读全文
摘要:
XML和XXE基础 1.0 XML和XXE简介 简介:XML(eXtensible Markup Language)是一种可扩展标记语言,它是由万维网联盟 (W3C)制定的标准格式,主要用于数据存储、传输以及文档结构的描述。XML的设计目的 是为了提供一种灵活且结构化的数据交换手段,使得数据能够在不 阅读全文
摘要:
CSRF 与SSRF基础 1.0 CSRF简介 CSRF,即跨站请求伪造,也可以缩写为XSRF,通过此漏洞,攻击者可以在目标不知情的情况下以 目标的名义伪造请求,从而执行恶意操作 CSRF攻击有两个条件: 1 目标登陆了网站 能够执行网站的功能 2 目标用户访问了攻击者的URL 我们通过让目标触发我 阅读全文
摘要:
app,小程序开发基础知识 1.0 app应用开发架构 原生开发: 安卓一般使用java开发,也有kotlin语言开发,简单的说就是使用安卓提供的一系列控件来实现 页面,我们对于这种架构怎么去安全测试呢?通过反编译逆向和抓包去分析资产信息,然后对资产进 行安全测试 开发架构:原生态-IDEA H5开 阅读全文
摘要:
import java.util.; import java.io.; import java.math.BigInteger; import java.nio.charset.StandardCharsets; import java.nio.file.Path; import java.time 阅读全文