搜索[user],共找到175个文章
域前置技术和C2隐藏
域前置介绍 域前置又译为域名幌子,是一种隐藏连接真实端点来规避互联网审查的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。...
实战|记一次简单的src挖掘
作者:Alpaca,转载于先知社区。 一.起 开局一个登录框,简单测试了几个弱口令无果后 注意力转到找回密码处 先输入两个非法的参数 点击获取验证码,抓包,查看响应代码返回0,前端显示未查询到...
如何使用Dismember扫描内存并搜索敏感信息
关于Dismember Dismember是一款针对Linux内存安全的测试与扫描工具,该工具本质上是一个基于命令行的工具,专为Linux操作系统而设计,可以帮助广大研究人员扫描Linux系统上的所有进程,并尝试从...
最近碰到的 Python pickle 反序列化小总结
python pickle 反序列化总结 pickle 基础 pickle 是一种栈语言,有不同的编写方式,基于一个轻量的 PVM(Pickle Virtual Machine)。 指令处理器从流中读取 opcode 和参数,并对其进行解释处理...
OpenRASP浅析
最近在学习RASP相关内容,正好OpenRASP开源,大概分析了一下流程。参考了网上师傅们的分析加上自己的理解就有了这篇文章。如有错误或不足,还望指正。 RASP技术 RASP,全称“Runtime applicatio...
webpagetest反序列化及ssrf漏洞分析
WebPageTest WebPageTest是一款非常专业的 Web 页面性能分析工具,它可以对检测分析的环境配置进行高度自定义化。2022年9月23日互联网上公开WebPageTest的多个漏洞。攻击者可利用runtest.php,构...
初步理解Phar反序列化 + 分析POP链构造(2022 Bilibili 1024 程序员节第二题)
写在前面:本文尝试用一道例题教会小白 Phar反序列化 以及关于POP链建立时的思考 (第一次写文章,多多包涵)题目来自 《Bilibili 2022 1024 程序员节》 前置知识: Phar 反序列化 Phar 是什么...
对Java CMS的审计的一次尝试
环境搭建 从gitee下载源码 传送门 根据开发文档,我们首先将项目导入idea开发工具中之后在Mysql中新建ofcms数据库在ofcms-admin模块中的src/main/resources/conf/dev/conf/db-config.properties...
记一次简单的src挖掘
一.起 开局一个登录框,简单测试了几个弱口令无果后 注意力转到找回密码处 先输入两个非法的参数 点击获取验证码,抓包,查看响应代码返回0,前端显示未查询到账户信息 再来一次,抓包并修改响...