Python原型链污染变体(prototype-pollution-in-python)

Article_kelp / 2023-01-27

前些时间看了idekctf 2022*task manager,出题人参考了另一位博主Python原型链污染变体的博文,于是打算写一篇文章简单学习下这种攻击方式和题目中的一些解题技巧等内容等

J

关于HackerOne上Grafana、jolokia、Flink攻击手法的学习

J7ur8 / 2022-11-30

那天凑巧上HackerOne看看,所以jarij漏洞报告刚一放出来就看到了。

浅谈JspWebshell之编码

Y4tacker / 2022-11-25

最近@phithon在知识星球中分享了一个多重编码的webshell姿势后,出于对代码实现的好奇简单看了看tomcat的具体实现以及尝试是否能够更深入的目的也便有了本篇

HTTP2 request smuggling

yake_daigua / 2022-11-24

最近看了一些HTTP请求走私的文章,都是基于HTTP/1.1的。HTTP/2.0已经发布多年,是否存在走私问题?进行检索后发现文章大都是讲H2C的,关于HTTP2的安全问题没有细致的讲解。在Black Hat USA 2021上,James Kettle演讲了议题:《HTTP/2: The Sequel is Always Worse》。经过一段时间的阅读,写下这篇文章。如果有描述错误的地方,还请各位师傅指正。

企业蜜罐建设实践

Al1ex / 2022-11-23

今年10月份接到领导临时安排的一个任务,要求部署一套可以置于互联网上的蜜罐环境,并且要求实现对本公司最新协同办公系统在野利用0day的捕获,同时也需要实现对在野利用Nday的态势感知和各类可疑攻击行为的捕获,之后通过对攻击行为分析确定协同办公系统存在的脆弱点并进行修复,从而全面提升协同办公系统的安全性

SnakeYaml反序列化及不出网利用

Sentiment / 2022-11-16

正文之前先了解一下SPI机制。

SPI全称Service Provider Interface,是Java提供的一套用来被第三方实现或者扩展的接口,它可以用来启用框架扩展和替换组件。 SPI的作用就是为这些被扩展的API寻找服务实现。

S

XML外部实体注入(XXE)攻击方式汇总

shungli923 / 2022-11-14

关于 XXE 攻击方式汇总的相应靶场通关记录已经完成,靶场使用的是 Port Swigger 靶场,若有需要,欢迎师傅们前往学习,Github地址:XXE 靶场通关笔记

初探HTTP Request Smuggling

quan9i / 2022-11-09

ISCC2022[让我康康]这道赛题在初次接触时令我记忆犹新,之前由于学习知识其他也一直没有对HTTP请求走私进行相关学习,最近学习过后简单总结如下,希望能对正在学习HTTP请求走私的师傅有所帮助。

M

2022 USTC Hackergame WriteUp 0x03

MiaoTony / 2022-11-07

这是 喵喵 2022 Hackergame WriteUp 的第三篇,主要也是一些难度稍大的题目,以及喵喵的碎碎念。

M

2022 USTC Hackergame WriteUp 0x01

MiaoTony / 2022-11-07

中国科学技术大学第九届信息安全大赛

PHP-FPM攻击详解

yake_daigua / 2022-10-27

最近参加了浙江省信息安全竞赛,遇到了一道攻击fastcgi的题目,发现自己对php-fpm不够了解,于是做了一个归纳总结。

投稿

随机分类

Windows安全 文章:88 篇
运维安全 文章:62 篇
数据分析与机器学习 文章:12 篇
memcache安全 文章:1 篇
数据安全 文章:29 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

V

v2ihs1yan

orz

F

foniw

师傅,这边有个问题 setter自动调用需要满足以下条件: 以set开头且第

D

Deen

谢谢分享哈,这里有个问题:__FILE__这个变量的存在导致了需要特定的文件名才

M

MasterK

666

B

BigYoung

这个bp插件有点厉害的样子~

RSS订阅