- 博客(3)
- 收藏
- 关注
RSS订阅原创 用marshalsec & Jndi注入利用工具(JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。
2024-04-11 17:57:36
3264
1
原创 SSL证书原理以及选购参考
最早域名传输数据时使用的是http超文本传输协议,但是http传输时是明文传输,明文数据在传输过程中会经过中间代理服务器、路由器、wifi热点、通信服务运营商等多个物理节点,如果信息在传输过程中被劫持,则会造成信息泄露问题,同时劫持者还可以篡改传输的信息且不被双方察觉,这就是中间人攻击。这个可用性的安全目标,通常是公司内部去默默完成的,但是对于面向用户,特别是需要在网站上进行交易操作的网站来说,网站证明自己的可靠就尤为重要。我们正确的选择了适合自己的证书后,还需要了解什么是适合我们的ssl类型。
2024-03-22 16:47:14
1099
7
原创 SPF邮件伪造漏洞利用及反邮件伪造技术学习
之前只是听说了能伪造邮件后缀进行钓鱼......后来偶然在其他师傅那边了解到邮件伪造漏洞......我就就就就浅浅复现学习了一下!特此对学习到的内容做一个梳理和记录~首先,目前很多邮件用的是简单邮件传输协议SMTP进行通信,但是由于这个协议本身没有很好的安全机制,这也让很多不法分子钻了空子进行钓鱼诈骗。我们先来了解一下SPF是什么,以及怎么用?SPF这个东西的全名是(Sender Policy Framework, SPF),是一个电子邮件验证的机制。
2024-03-20 16:36:13
4100
3
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人