摘要: idea+maven+Struts2的踩坑记录 常见jar说明: struts2-core-2.3.1.1.jar:Struts 2框架的核心类库 xwork-core-2.3.1.1.jar:Command模式框架,WebWork和Struts2都基于xwork ognl-3.0.3.jar:对象 阅读全文
posted @ 2022-05-04 12:03 sherlson 阅读(134) 评论(0) 推荐(0) 编辑
摘要: 本文首发于 https://www.freebuf.com/articles/web/328971.html LFI演化史 图片来源于山石网科冬令营分享截图 LFI介绍 LFI指本地文件包含(Local File Include),本次分享主要讲解PHP方向的LFI。 PHP中的文件包含: incl 阅读全文
posted @ 2022-05-01 12:18 sherlson 阅读(132) 评论(0) 推荐(0) 编辑
摘要: [buu]-n1book-Python里的SSRF 开放8000端口; 路径/api/internal/secret。 访问目标靶机,题目要求一个url参数,因此尝试1进行测试。 由此可知,此处只能请求url,对于其他的不合要求的输入会返回一个empty hostname。根据题目中的tag为SSR 阅读全文
posted @ 2022-04-28 14:32 sherlson 阅读(235) 评论(0) 推荐(0) 编辑
摘要: 目前拿了两个offer,都是安恒信息的,感觉待遇不是特别满意,继续加油 阅读全文
posted @ 2022-04-21 09:05 sherlson 阅读(50) 评论(2) 推荐(0) 编辑
摘要: tk教主的分享 https://sg.weibo.com/user/tombkeeper/4124321099700965 下面的内容都是以作者为第一人称。 分享缘由 一位老师问我当年自学时看的是什么书,想推荐给他的学生。十几年前国内安全方面的书不多,选择余地很小。而且我那时啥都不懂,对书也没什么鉴 阅读全文
posted @ 2022-04-19 11:33 sherlson 阅读(63) 评论(0) 推荐(0) 编辑
摘要: 面试-近期面试汇总 面试汇总 0x00、安恒信息 安全服务部门 安恒信息 安全服务一面 询问基本情况 询问项目 用什么做弱密码爆破(->burp, 询问相关模块和作用) 存储型xss的常用payload、作用 实战中文件上传的waf怎么绕过 除了蚁剑,还使用过哪些后门连接工具 询问sqlmap的参数以及作用 哪些类型的 阅读全文
posted @ 2022-04-17 21:22 sherlson 阅读(168) 评论(0) 推荐(1) 编辑
摘要: 知识体系扫盲 web安全学习:http://study.hctrah.com/ 狼组知识库 漏洞银行学习路线 阅读全文
posted @ 2022-04-12 11:36 sherlson 阅读(22) 评论(0) 推荐(0) 编辑
摘要: 随笔 恐怖的互联网寒冬……一个ali云的大佬被撕了意向,已经意向了快俩星期了。tx某部门也被传疯狂裁人…… 阅读全文
posted @ 2022-04-11 23:22 sherlson 阅读(32) 评论(0) 推荐(0) 编辑
摘要: 转载-SSRF 绕过技巧 分享几个绕过URL跳转限制的思路 本文转载自: t00ls.net 如若转载,请注明出处: https://www.t00ls.net/thread-43001-1-2.html 这些小技巧都是我在漏洞挖掘过程当中实践过的。那些没有实践过的,比如网上也有很多思路,我没有遇到过成功案列我就不再列出来了 阅读全文
posted @ 2022-04-07 12:46 sherlson 阅读(305) 评论(0) 推荐(0) 编辑
摘要: buu-n1book SSRF Training 一道很有意思的SSRF题目,页面超级喜欢(❤ ω ❤) 来到靶场,一个非常可爱的像素风格页面;页面中直接提示了这是一道SSRF的题目。同时页面存在一个可跳转的链接http://7b585460-fca7-426c-9ffa-50346f12559e. 阅读全文
posted @ 2022-04-06 20:55 sherlson 阅读(334) 评论(0) 推荐(0) 编辑