如何当一个代码审计机器人 2023-08-26 代码审计 背景 藏在笔记里面很久的一篇总结了,记录了大佬们在吭呲吭呲产出高危漏洞时, 我对着代码不知所措时的心态。 强烈的驱动力 要全面理解一个系统,理解其攻 Read more...
jackson和java原生反序列化 2023-08-10 java安全 前言 在一次审计过程中发现了一处原生反序列化漏洞的点,但利用漏洞却花了很长时间,这里简要记录下。 程序是一个spring boot的应用程序,使用 Read more...
Commons Collections1 2021-12-01 java安全 在写这篇学习笔记之前,我看了许多篇网上的文章, 发现它们都没有它们所声称的那么容易好理解。 在我完全搞懂这个漏洞之后, 我发现这个漏洞最难的地方并 Read more...
URLDNS 2021-12-01 java安全 在java反序列化那篇文章里面我们提到要借助一个简单的例子来了解java反序列化的gadget,URLDNS就是这么一个例子。 URLDNS是 Read more...
java RMI 2021-11-30 java安全 rmi(Remote Method Invocation)是java内的远程调用服务,可以实现从一个jvm远程调用另一个jvm的代码。 提供服务的一方我们称之为服务器,而实现 Read more...
java反序列化 2021-11-29 java安全 当数据在网络中传输时,我们需要把我们代码中的数据固定成某种特定的数据格式去传输,目前使用最为广泛的 两种格式是: json和xml. 但是这两种格 Read more...
java反射 2021-11-28 java安全 反射机制是java语言提供动态特性的机制。动态特性,指一段代码, 改变其中的变量,即可对这段代码产生功能性的变化[1]。 基本语法 设想有一个Pe Read more...
Code-Audit-Challenges解题记录 2019-11-04 CTF github上面的代码审计“小”题目。 代码审计和开发不同的是,代码审计需要异常关注程序语言的各种 小边界,各种开发所遗漏的语言安全特性。 这里将 Read more...
Sqli Lab解题记录 2019-07-17 CTF Sqli-lab 是一个供人练习sql注入的一个项目。虽然现在实战中sql注入已经非常少了,但是sql注入还是经常出现在各种CTF比赛中, 为了愉快的打CTF,垒实sqli的基础还是有必要的。 Read more...
使用travisCI自动发布你的hugo博客 2019-06-11 工具介绍 众所周知, github有免费的github page可供用户放置静态页面。呃,对于更新不那么频繁的用户来说, github page可远远比自己搭的服务器 简 Read more...