- 博客(6)
- 收藏
- 关注
RSS订阅原创 清晰易懂java反序列化漏洞简介
Java反序列化漏洞序列化与反序列化:序列化的数据是方便存储的,而存储的状态信息想要再次调用就需要反序列化序列化就是把对象的状态信息转换为字节序列(即可以存储或传输的形式)过程反序列化即逆过程,由字节流还原成对象字节序是指多字节数据在计算机内存中存储或者网络传输时各字节的存储顺序。作用:把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中; 2.在网络上传送对象的字节序列。应用场景:在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物..
2022-03-16 21:33:04
7960
原创 浅谈SSRF和CSRF
CSRF概念CSRF跨站点请求伪造(Cross—Site Request Forgery)攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:网站A为存在CSRF漏洞的网站B为攻击者构建的恶意网站,用户C为 A网站的合法用户。CSRF攻击攻击原理及过程如下:1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请
2022-03-15 17:36:27
332
原创 XXE漏洞的详解与利用
XXE漏洞详解漏洞介绍:如果XML 文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击,这就是XXE漏洞。另外php版本大于5.4.45的默认不解析外部实体XML:设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很想HTML语言。但是XML和HTML有明显区别如下:1.被设计用来传输和存储数据。2.被设计用来显示数据。XML结构:<?xml version="1.0" encoding="UTF-8"?&.
2022-03-15 15:41:43
4410
转载 简单易懂SQL注入讲解
SQL注入注入原理:通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。数值型注入:当输入参数为数字时候可能为数值型,列如:https://123abc.com/tes.php?id=1我们可以在参数后面加 ’ 判断是否存在注入点,如果加 ‘ 后页面报错则有可能存在注入点 也可以用 and 1=1 页面正常 and 1=2 页面出错来判断是否存在.
2022-03-14 17:04:05
879
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人