- 博客(14)
- 收藏
- 关注
RSS订阅原创 浅谈基于Java的反序列化漏洞
与php的序列化反序列化一样,Java的序列化从理解上来看大同小异,都将对象以一连串的字节保存在磁盘文件中的过程,而反序列化也一样是将保存在磁盘文件中的java字节码重新转换成java对象的过程。(在接下来的序列化中,当一个类A引用了其他类B的对象时,若A的对象被序列化,则B在A内的对象也会被序列化,所以说序列化是递归进行的)注意:若使用Externalizable接口,可以手动选择对象是否被序列化/反序列化,不需要像Serializable接口一样给不被序列化/反序列化的对象的类型加上。
2023-12-11 10:23:06
1101
3
原创 XXE(XML外部实体注入)基础
XML External Entity Injection即xml外部实体注入漏洞,简称XXE漏洞。XXE是针对解析XML输入的应用程序的一种攻击。当弱配置的XML解析器处理包含对外部实体的引用的XML输入时,就会发生此攻击。这种攻击可能导致信息泄露,命令执行,拒绝服务,SSRF,内网端口扫描以及其他系统影响。XML(eXtensible Markup Language) 一种用于表示和传输的语言。XML是一种标记语言,类似于HTML,但与HTML不同,HTML语言主要用于呈现,而XML用于传输。
2023-12-11 10:10:15
1248
1
原创 Flask框架漏洞:SSTI
SSTI 是 Server-Side Template Injection即 服务端模板注入,它是一种安全漏洞攻击技术。当应用程序在服务器端使用模板引擎来呈现动态生成的内容时,如果用户可以控制模板引擎的输入,就可能导致 SSTI 漏洞。在正常情况下,模板引擎被设计用于安全地将预定义的模板与数据进行组合,生成最终的输出。但是,SSTI 漏洞允许攻击者在应用程序的上下文中执行任意的服务器端代码。当攻击者能够通过用户输入或其他外部来源插入恶意的模板代码时,就会产生一系列问题。
2023-12-01 23:50:01
2380
2
原创 基于javascript原型链污染
一个构造函数可以作为原型对象去构造一个实例对象,而他所构造的实例对象也可以作为一个原型对象去构造另一个实例对象。每一个实例对象都指向他的原型对象,直到指向第一个构造函数为止。这一连串的指向像一个链表,就是原型链。
2023-12-01 14:43:55
1113
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人