掌控者-核心成员

g1870412862

4关注
8粉丝
14文章
返回网站首页

您已发布 14篇文章作品写文章

用友NC0day自助

## 用友环境安装#CTL{\n}#CTL{\n}参考csdn文章:#CTL{\n}#CTL{\n}```#CTL{\n}https://blog.csdn.net/weixin_38766356/article/details/103983787?ops_request_misc=&request_id=&biz_id=102&am

 2023-4-15
 0 
 2240 

内网系列-委派攻击之非约束委派攻击

## 什么是域委派#CTL{\n}比如现在有web服务器和文件服务器,当用户A访问web服务器去请求某个资源时web服务器上本身并没有该资源,所以web服务器就会从文件服务器上调用这个资源。#CTL{\n}## 委派攻击分类:#CTL{\n}- 非约束委派攻击#CTL{\n}- 约束委派攻击#CTL{\n}- 资源委派攻击#CTL{\n}#CTL{\n}## 今天我们主要讲非约束性委派的打法。#C

 2022-4-19
 0 
 716 

SQL注入-java代码复现

0x00:前言的前言本人最近正在学习java代码审计,纵观国内Java安全的文章,目前在java方面还是相当少的,其中力推P牛的知识星球,虽然进入要199但是个人感觉还是相当划算的。0x01:前言这个系列文章,将会以java为主语言,讲述owasptop10漏洞的原理与防御。更新时间不定期,如有错误或者不当之处,望各位师傅指正。0x02:SQL_inject原理对于sql注入已经是老生常谈的问

 2021-8-7
 0 
 1287 

java代码审计入门案例

近期开始学习java代码审计,正如P牛所言:Java安全总结向的书籍或文章会容易陷入一个死胡同,就是读着读着发现大部分内容是Web安全。对于java安全,学习路线应该是这样的:Java反射RMI协议与漏洞Java反序列化JNDI注入内存马漏洞回显WebshellJ2EEJava传统漏洞EL与SpEL表达式OGNL表达式与Struts2系列漏洞JSON反序列化XML反序列化Weblogic系列漏

 2021-5-24
 4 
 2673 

(限时投稿)CTF中的一些常见骚姿势(实战可以没有这个情景,但是不能不会)

0X01:前言近期被学校的小伙伴拉去打ctf,上次线下赛被虐成?的情景还记忆犹新,这次务必要拿出成绩证明一下自己,希望自己可以变得像M1ng师傅、绮丽丽、爆栈倒斗师傅他们那样强,这段时间刷了挺多的ctf题,总结了一些ctf中常见的骚姿势。0X02:来啦来啦,骚姿势总结来一. 弱类型比较ctf中见怪不怪了,经常已经知道题目要考察的是什么知识了,传参都要用个弱类型比较来为难一下我们。‘=’,‘=

 2021-4-15
 0 
 1426 

上海长亭科技安全服务工程师

公司名称:长亭科技所在城市:上海面试职位:安全服务工程师面试官的问题:1.谈谈对csrf的了解还有防范答:csrf是利用被攻击者的对象的cookie,冒充被攻击者的身份发送恶意请求;防御可以在请求地址添加token,验证http referer字段,自定义请求头属性并做验证2.讲讲跨站脚本原理和防范答:xss造成的原因是用户输入的内容被当作了前端代码执行,防范:做过滤,对输入的字符做实体化,CS

 2021-3-26
 4 
 1436 

java反射机制

Java反射机制定义Java反射机制是在运行状态中,对于任意一个类,都能够知道这个类中的所有属性和方法;对于任意一个对象,都能够调用它的任意一个方法和属性;这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反射机制。 Java 反射机制的功能1.在运行时判断任意一个对象所属的类。2.在运行时构造任意一个类的对象。3.在运行时判断任意一个类所具有的成员变量和方法。4.在运行时

 2021-3-21
 0 
 5 

学习正则表达式的7境界,学会只需10分钟

level:1匹配固定的字符串,例如:需要在{姓名:张三,学号:123456,性别:男}中找到字符123456,可以使用python自带的intext = ‘姓名:张三,学号:123456,性别:男’target = ‘123456’if target in text: print(“find!”)也可以使用正则匹配text=’姓名:张三,学号:123456,性别:男’re.findall(r’

 2021-3-18
 0 
 3 

不想做开发的运维不是好渗透测试--走进Javaweb(mybatis)

什么是MybatisMyBatis 是一款持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(实体类)映射成数据库中的记录为什么要用mybatis传统的JDBC过于繁琐,需要加载驱动,创建连接,操作数据库之后还需要

 2020-12-9
 3 
 1108 

文件上传漏洞之.user.ini

.user.ini.user.ini是php的一种配置文件,众所周知php.ini是php的配置文件,它可以做到显示报错,导入扩展,文件解析,web站点路径等等设置使用条件:(1)服务器脚本语言为PHP(2)对应目录下面有可执行的php文件(3)服务器使用CGI/FastCGI模式优势跟.htaccess后门比,适用范围更广,nginx/apache/IIS都有效,而.htaccess只适用于a

 2020-11-27
 2 
 1559