漏洞分析
文章平均质量分 67
不会代码的小徐
talk is cheap, show me the code
展开
-
Django SQL注入-漏洞分析
4.对接口参数进行fuzz(实战思路),vulfocus已经给出了/demo?5.对接口进行SQL注入测试(单引号,双引号等),发现双引号报错,页面直接返回了flag。2.访问任意不存在的目录路径报错,提示存在demo接口。或者下载github项目,使用python安装。3.访问/demo/,提示有一个name参数。然后我们输入单个url进行扫描。图4 cmd进入工具路径。图9 页面返回flag。先下载项目arjun。图5 安装arjun。图10 flag找寻。原创 2024-09-20 14:49:33 · 243 阅读 · 0 评论 -
Java反序列化漏洞分析
序列化就是把对象的状态信息转换为字节序列(即可以存储或传输的形式)过程反序列化即逆过程,由字节流还原成对象注: 字节序是指多字节数据在计算机内存中存储或者网络传输时各字节的存储顺序。用途:1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;2) 在网络上传送对象的字节序列。1) 一般来说,服务器启动后,就不会再关闭了,但是如果逼不得已需要重启,而用户会话还在进行相应的操作,这时就需要使用序列化将session信息保存起来放在硬盘,服务器重启后,又重新加载。原创 2024-09-20 14:37:12 · 1235 阅读 · 0 评论