Nodejs原型链污染

Nodejs与JavaScript和JSON有一些人在学习JavaScript时，会分不清Nodejs和JavaScript之间的区别，如果没有node，那么我们的JavaScript代码则由浏览器中…

 蚁景网安实验室 2023-02-13 14:05:22

11,241 0 0

实战 | 记一次23000美元赏金的漏洞挖掘

记一次23000美元赏金的漏洞挖掘这三个漏洞分别是身份验证绕过&文件上传&任意文件覆盖今天我要分享一个我不久前发现的漏洞，我认为这很有趣。但我不会分享漏洞赏金计划名称和域名..等，因为…

 HACK_Learn 2022-10-20 14:43:29

10,289 0 0

浅析JWT安全问题

重生之我是JWT前不久研究websocket时发现port-swigger出了新的靶场，一看，发现是关于jwt安全的，刚好来总结回忆一下JWT简介Json web token (JWT)，是为了在网络…

 蚁景网安实验室 2022-08-10 13:47:13

8,714 1 1

从hfctf学习JWT伪造

easy_login简单介绍一下什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).该token被设计为紧凑…

 蚁景网安实验室 2021-07-23 14:07:52

6,158 0 3

初识Fastjson漏洞（环境搭建及漏洞复现）

目前网上的资源整理不是针对入门玩家，都需要一定的java漏洞调试基础，本文从一个简单的FastJson 漏洞开始，搭建漏洞环境，分析漏洞成因，使用条件等。从入门者的角度看懂并复现漏洞触发，拥有属于自己…

 蚁景网安实验室 2021-07-08 14:46:28

46,940 0 4

记一次微信小程序渗透测试

前言本次小程序漏洞挖掘比较基础，第一次写文章，有不足的地方麻烦师傅们指点一下。正文目标小程序已上线，但仅能申请后内部员工使用，是一个廉政答题小程序。打开小程序，打开burp，尝试登录,用户未找到...…

 HACK_Learn 2020-10-28 18:13:27

16,687 1 2

Fastjson漏洞复现

前言    前不久传的沸沸扬扬的FastJson反序列化漏洞，相信有不少企业都中招了，当然我司也未能幸免，基于次漏洞更具官方给的补漏措施，已完全可以避免在这不再阐述。本文就拿它从一…

 安全先师 2020-07-13 17:34:33

10,916 1 1

CTF web题型理论基础篇-第二课 理论基础

 以下内容大多是我在学习过程中，借鉴前人经验总结而来，部分来源于网络，我只是在前人的基础上，对CET WEB进行一个总结；工具集：基础工具：Burpsuite，python，firefox(…

 Lemon 2020-06-24 18:04:36

11,830 1 12

如何在LOL中正确的抓出内鬼

原本假期计划是打两个星期游戏再随便折腾点好玩的.但可惜,假期余额不断充值到账,游戏也给我打腻了.于是顺着游戏里小伙伴的撕逼开始了抓内鬼之旅,让?来看看到底是谁让我上不了王者:D.爬数据最初打算是使用w…

 星盟安全团队 2020-03-27 13:57:37

13,637 1 10

安全编码实践之一：注入攻击防御

如何编写安全代码？保护自己免受注入攻击！我已经在这个问题上工作了好几个月，试图理解是什么让代码变得脆弱，现在，我收到了这个简单的答案 - 糟糕的编程习惯。现在这看起来很明显，但编程…

 Bypass007 2019-05-05 15:47:23

9,222 1 3

Wfuzz基本功

爆破文件、目录wfuzz本身自带字典：.├── Injections │   ├── All_attack.txt │  &nbs…

 key 2018-11-16 15:30:14

15,246 1 7

玩转JSON节点的Content-Type XXE攻击

正如我们所知道的，很多web和移动应用都基于客户端-服务器交互模式的web通信服务。不管是SOAP还是RESTful，一般对于web服务来说，最常见的数据格式都是XML和JSON。 尽管web服务可能…

 PulseO0O 2015-04-28 21:42:18

17,705 1 4