java
文章平均质量分 58
一泽re.
这个作者很懒,什么都没留下…
展开
-
Android渗透思路简述及入门反编译基础。
猩红实验室 欢迎投稿分享交流0x00 前言为什么要进行移动端渗透?对于渗透测试人员来说,在日常测试工作中经常设计移动APP的安全检测,多一个攻击面也就意味着目标系统多了一份被攻破的可能,且随着移动互联网时代的到来,使得越来越多的功能由计算机转向手机等移动设备。移动端存在哪些漏洞?大部分漏洞其实都是存在于服务器端,例如SQL注入、越权漏洞、支付漏洞、CSRF、变量覆盖、反序列化、文件包含等等,这些漏洞与我们用pc端还是移动端访问并无关系。同理,渗透测试的核心思想就是把控传参,app渗透和.原创 2022-04-06 17:33:18 · 7013 阅读 · 0 评论 -
log4j2漏洞原理简述
影响版本Apache Log4j 2.x <= 2.14.1jdk不知道,有知道的师傅麻烦告诉下漏洞原理由于Apache Log4j存在递归解析功能(lookup),未取得身份认证的用户,可以从远程发送数据请求输入数据日志,轻松触发漏洞,最终在目标上执行任意代码。lookup相当于是一个接口,具体去哪里查找,怎么查找,就需要编写具体的模块去实现了,类似于面向对象编程中多态那意思。单单lookup的话打印一些服务器信息什么的危害倒是不大,但是加上JNDI就有意思了。JNDI(Java Na原创 2022-04-02 17:18:48 · 6711 阅读 · 0 评论 -
fastjson反序列化漏洞原理简述
fastjson反序列化漏洞原理及利用方案原创 2022-03-27 15:09:59 · 5775 阅读 · 0 评论 -
shiro反序列化漏洞简述
在一些面试以及攻防对抗中,总会碰到shiro反序列化的命令执行,于是给大家简单的科普一下。Apache Shiro是一款开源企业常见JAVA安全框架,此框架提供了RememberMe的功能,这是很多网站都具备的,例如你登录了一个网站,关掉浏览器再次打开网站时,网站会保留你的登录信息情况。首先,shiro处理cookie的流程是先得到rememberMe的cookie值,然后Base64解码,AES加密,最后反序列化。但是AES的密钥是硬编码的,攻击者可以通过构造payload造成反序列化的命令执行。原创 2022-03-24 21:39:47 · 1629 阅读 · 0 评论 -
LeetCode每日一题--力扣66.加一(Java)
题目描述刚看到题目以为很简单,直接末尾加一就不就行了,但是仔细想了想,需要考虑到进位的问题,并且如果全是9的话还需要在最前面加个一,自己写了一大串代码,不好看就不写了,附上大佬们的代码:class Solution { public int[] plusOne(int[] digits) { int i=digits.length-1; while(i>=0) { if(digits[i]==9) { digit原创 2021-10-22 16:42:34 · 194 阅读 · 0 评论 -
JDBC驱动新手教程
一、 URLJDBC的URL=协议名+子协议名+数据源名。协议名总是“jdbc”。子协议名由JDBC驱动程序的编写者决定。数据源名也可能包含用户与口令等信息;这些信息也可单独提供。二、MySQL驱动:com.mysql.jdbc.DriverURL:jdbc:mysql://machine_name:port/dbname注:machine_name:数据库所在的机器的名称; port:端口号,默认3306三、新旧版本写法对比1.旧版本,MySQL Connector/J 5.x 版原创 2021-10-13 00:05:25 · 2141 阅读 · 0 评论 -
Eclipse Language Servers: There is ‘1‘ error in ‘javaee_7.xsd‘解决办法
今天在Eclipse导入项目时,web-inf出现红叉,百度无果后自行研究。出现错误的文件是web.xml<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/原创 2021-10-11 14:25:17 · 9268 阅读 · 16 评论