- 博客(5)
- 收藏
- 关注
RSS订阅原创 逻辑漏洞常见案例总结
逻辑漏洞和业务漏洞本质上不是“技术没写对”,而是规则被绕过、流程被滥用、假设被打破。它们往往不依赖复杂的利用链,也不需要高深的漏洞技巧,而是源于对业务理解不够、对异常路径考虑不足。与传统漏洞不同,逻辑/业务漏洞无法通过扫描器批量发现,更多依赖于对业务流程的拆解能力、攻击者视角的逆向思考、以及对真实用户行为的理解。参数是否合法、步骤是否可跳、状态是否可信、次数是否受控、权限是否仅靠前端约束,这些看似“正常”的设计,往往正是漏洞的起点。
2025-12-30 22:16:25
928
原创 Java-反序列化和序列化基础
Java序列化与反序列化示例:通过实现Serializable接口,可将对象转换为字节流存储或传输。示例包含Person类的序列化(保存为1.bin文件)和反序列化过程,其中反序列化时会触发readObject方法执行系统命令(如打开计算器)。代码展示了使用ObjectOutputStream进行序列化和ObjectInputStream进行反序列化的完整流程,并说明了如何自定义序列化行为。注意反序列化存在安全风险,可能被恶意利用执行任意代码。
2025-12-27 13:23:37
856
原创 内网信息收集总结
本文详细介绍了Linux和Windows系统信息收集的方法。在Linux方面,涵盖用户信息(whoami、/etc/passwd)、网络配置(ifconfig、iptables)、系统信息(uname、/proc)、进程服务(ps、top)、历史命令(history)等关键数据收集技术。Windows部分则包括用户信息(whoami)、网络配置(ipconfig)、进程信息(netstat)、补丁检查(systeminfo)、凭证获取(Mimikatz)等重要技术。文章还特别介绍了域环境下的信息收集方法,包
2025-12-25 17:13:52
1263
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人