- 博客(3)
- 收藏
- 关注
RSS订阅原创 关于越权漏洞
之所以称为逻辑漏洞,是因为代码之后是人的逻辑,人更容易犯错,是编写完程序时因为人的思维逻辑不足而产生的缺陷。与sql注入、xss漏洞不同,他们可以通过安全框架等避免,这种攻击的流量非法,对原始程序进行了破坏,可以通过防火墙进行检测,逻辑漏洞是通过合理合法的方式达到破坏。逻辑漏洞主要包括:越权、非授权、验证码绕过、支付、密码找回等。
2024-06-19 15:22:26
1376
原创 反序列化漏洞
序列化是将对象状态为可保持或可传输的格式的过程,也就是将变量数据转换为字符串。通俗的说就是若想将一个实体类的整个实例对象的数据进行传输或者保存,需要将其转换成io流才能传输或者保存,这就是序列化过程,这是又为了安全的反序列化恢复成实例对象,就需要将实体类实现序列化接口。值得注意的是,json字符串在传输过程中也是序列化了的,序列化将对象转化为二进制流,反序列化将流转换为对象,这两个过程结合起来,就可以轻松地存储和传输数据。
2024-06-19 11:53:41
455
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人