- 博客(9)
- 收藏
- 关注
原创 fastjson漏洞复现
Fastjson是一个阿里巴巴开源的Java库(项目地址为:https://github.com/alibaba/fastjson),它用于将Java对象转换为JSON表示。它还可以用于将JSON字符串转换为等效的Java对象。Fastjson可以处理任意Java对象,并且它提供了高性能的JSON解析和序列化功能。
2023-11-08 00:13:01
363
1
原创 xss 浅析
一、XSS概述(1)代码位于script标签中,如(2)代a码位于onclick事件中,此类事件带有onerror,.onload,onfocus,onblur,onchange,onmouseover,.ondblclick等(3)代码位于超链接的href属性中,或其他类似属性中。
2023-10-30 15:14:54
77
1
转载 wife_wife ctf
网站可以登录可以注册,除此之外没别的了。随便注册个用户登录也只能得到假flag。直接把false改成true重发是没用的。可以看看github上别人给出的源码查阅资料,原来也能触发原型链污染。的作用是把baseUser和user的属性合并后拷贝到{}中,即newUser是baseUser和user的集合体。baseUser猜测是user类似父类的东西,user应该就是上面的部分了。然后登录注册的用户即可得到flag。看了这篇相信这道题就很简单了。
2023-06-16 11:36:05
555
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人