摘要:JAVA 真的令人头大 参考文章 Java反序列化漏洞从入门到深入 JAVA 序列化与反序列化 简介 同 PHP/Python 类似,java 序列化的目的是将程序中对象状态转换成以数据流形式,反序列化是将数据流恢复为对象。 此举可以有效地实现多平台之间的通信、对象持久化存储。 序列化实例 impo 阅读全文
posted @ 2021-02-24 17:54 1ndex- 阅读(2) 评论(0) 推荐(0) 编辑
摘要:参考文章 Java 反序列化漏洞(2) – Java 反射机制 看完参考后面忽略 定义 Java 反射机制是指在程序运行时,对于任何一个类,都能知道这个类的所有属性和方法,对于任何一个实例对象,都能调用该对象的任何一个属性和方法 Java 中这种 "动态获取信息" 和 "动态调用属性 "方法的机制被 阅读全文
posted @ 2021-02-21 13:51 1ndex- 阅读(5) 评论(0) 推荐(0) 编辑
摘要:参考文章 数据库DNSLog外带注入-总结 Dnslog在SQL注入中的实战 注:外带数据皆为数据库版本信息 mysql 条件: Windows mysql.ini 中 secure_file_priv 必须为空,select @@secure_file_priv 适用于联合注入或堆叠注入 具体: 阅读全文
posted @ 2021-02-03 16:20 1ndex- 阅读(3) 评论(0) 推荐(0) 编辑
摘要:参考文章 JWT(Json Web Token)认证 Json Web Token 2020 攻击指南 前置知识 Json Web Token。是在完成身份验证之后,服务器生成的一个 JSON 对象并将其加密后返回给用户形如 xxxx.xxxxx.xxxxx 的一串字符 之后,客户端与服务器之间的通 阅读全文
posted @ 2021-02-02 16:47 1ndex- 阅读(7) 评论(0) 推荐(0) 编辑
摘要:水了好长一段时间了,是时候静下心来好好学习了。前段时间经历了人生中第一次面试,做做总结,查漏补缺。 面试问题 top 10 CSRF 修复方式 get 类型 填加 token 或者验证码,因为单纯验证 referer 极易被绕过(如将链接留在评论留言处) post 类型 验证 referer 可有效 阅读全文
posted @ 2021-01-31 15:05 1ndex- 阅读(17) 评论(0) 推荐(0) 编辑
摘要:参考文章 一篇文章带你理解漏洞之 Python 反序列化漏洞 Python Pickle/CPickle 反序列化漏洞 Python反序列化安全问题 pickle反序列化初探 前言 上面看完,请忽略下面的内容 Python 中有很多能进行序列化的模块,比如 Json、pickle/cPickle、S 阅读全文
posted @ 2020-12-10 13:12 1ndex- 阅读(298) 评论(0) 推荐(0) 编辑
摘要:参考文章 安卓漏洞学习 测试 app:diva 漏洞点 不安全的日志输出 主要是由于 app 代码中将敏感信息输出到 app 的 logcat 中 使用 adb 工具查看安卓日志:adb logcat 硬编码 开发人员将密码/密钥等敏感字符字节写在源代码中 不安全的存储 将敏感数据保存到配置文件xm 阅读全文
posted @ 2020-11-29 17:02 1ndex- 阅读(66) 评论(0) 推荐(0) 编辑
摘要:参考文章 portswigger. 开发“属于你自己”的Burp Suite插件 碰到的问题 环境问题 教程一大把,下载 jython,然后 BURP 内选择该环境即可 抄一篇文章上的示例代码,测试测试,看能不能跑通 好家伙,直接来一个报错,ImportError: cannot import na 阅读全文
posted @ 2020-11-21 16:00 1ndex- 阅读(151) 评论(0) 推荐(0) 编辑
摘要:参考文章 Android 安全测试框架 Drozer-使用篇 Android四大组件 Android暴露组件——被忽略的组件安全 APP下载 Sieve FourGoats 前提知识 AndroidManifest.xml AndroidManifest.xml 文件是整个应用程序的信息描述文件,包 阅读全文
posted @ 2020-11-12 14:34 1ndex- 阅读(78) 评论(0) 推荐(0) 编辑
摘要:搞什么内网啊,Android 多有趣! 大师傅文章 drozer工具的安装与使用:之一安装篇 Android安全测试框架Drozer(安装篇) adb 安装使用 所需环境/工具及官方下载地址(Windows) Python2.7 安卓模拟器 Dorzer 电脑端 Dorzer 安卓端 adb(And 阅读全文
posted @ 2020-11-10 14:04 1ndex- 阅读(103) 评论(0) 推荐(0) 编辑