- 博客(476)
- 收藏
- 关注
RSS订阅原创 Web攻防-访问控制篇&水平越权&垂直越权&未授权访问&级别架构&项目插件&SRC复盘
知识点:1、WEB攻防-业务逻辑-越权&访问控制&未授权2、WEB攻防-业务逻辑-检测项目3、WEB攻防-业务逻辑-挖掘思路报告
2025-07-18 21:58:48
138
原创 Web攻防-PHP反序列化&Phar文件类&CLI框架类&PHPGGC生成器&TP&Yii&Laravel
知识点:1、PHP-反序列化-Phar反序列化2、PHP-反序列化-框架反序列化链生成项目3、PHP-反序列化-框架反序列化利用
2025-07-17 20:15:46
459
原创 Web攻防-PHP反序列化&字符逃逸&增多减少&成员变量属性&解析不敏感&Wakeup绕过
知识点:1、WEB攻防-PHP反序列化-CVE&wakeup绕过2、WEB攻防-PHP反序列化-PHP版本绕过机制3、WEB攻防-PHP反序列化-字符增多减少逃逸
2025-07-15 21:29:59
383
原创 Web攻防-PHP反序列化&原生内置类&Exception类&SoapClient类&SimpleXMLElement
知识点:1、WEB攻防-PHP反序列化-原生类&生成及利用条件2、WEB攻防-PHP反序列化-Exception触发XSS3、WEB攻防-PHP反序列化-SoapClient触发SSRF4、WEB攻防-PHP反序列化-SimpleXMLElement触发XXE
2025-07-13 18:30:35
503
原创 Web攻防-PHP反序列化&魔术方法&触发条件&POP链构造&变量属性修改&黑白盒角度
知识点:1.WEB攻防-PHP反序列化-序列化和反序列化2.WEB攻防-PHP反序列化-常见魔术方法触发规则3.WEB攻防-PHP反序列化-反序列化漏洞产生原因4.WEB攻防-PHP反序列化-黑白盒&POP链构造
2025-07-13 11:09:04
741
原创 Web攻防-SSTI服务端&模版注入&利用分类&语言引擎&数据渲染&项目工具&挖掘思路
知识点:1、WEB攻防-SSTI-利用分类&功能点2、WEB攻防-SSTI-利用项目&挖掘思路
2025-07-11 22:22:56
320
原创 Web攻防-RCE&代码执行&命令执行&无回显方案&功能点&引发链&黑盒功能点&白盒审计
知识点:1、WEB攻防-RCE-代码执行&命令执行&无回显2、WEB攻防-RCE-功能点&引发链3、WEB攻防-RCE-黑盒案例&白盒审计&CTF
2025-07-08 22:18:55
524
原创 Web攻防-XML&XXE&上传解析&文件预览&接口服务&白盒审计&应用功能&SRC报告
知识点:1、WEB攻防-XML&XXE-黑盒功能点挖掘2、WEB攻防-XML&XXE-白盒函数点挖掘3、WEB攻防-XML&XXE-SRC报告
2025-07-06 20:44:18
491
原创 Web攻防-XML&XXE&无回显带外&SSRF元数据&DTD实体&OOB盲注&文件拓展
知识点:1、WEB攻防-XML&XXE-注入原理&分类&修复2、WEB攻防-XML&XXE-文件读取&SSRF&实体引用3、WEB攻防-XML&XXE-无回显&升级拓展&挖掘思路
2025-07-06 17:04:04
1262
原创 Web攻防-文件下载&文件读取&文件删除&目录遍历&路径穿越
知识点:1、WEB攻防-文件下载&读取&删除-功能点&URL2、WEB攻防-目录遍历&穿越-功能点&URL
2025-07-05 19:27:15
371
原创 WEB攻防-文件包含&LFI&RFI&伪协议编码算法&无文件利用&黑白盒
知识点:1、文件包含-原理&分类&危害-LFI&RFI2、文件包含-利用-黑白盒&无文件&伪协议
2025-07-05 15:15:24
892
原创 Web攻防-文件上传&黑白名单&MIME&JS前端&执行权限&编码解析&OSS存储&分域名&应用场景
知识点:1、WEB攻防-文件上传-前端&黑白名单&MIME&文件头等2、WEB攻防-文件上传-执行权限&解码还原&云存储&分站等3、WEB攻防-文件上传-JS提取&特定漏洞&第三方编辑器4、WEB攻防-文件上传-思维导图形成
2025-07-03 21:09:26
533
原创 Web攻防-SSRF服务端伪造&伪协议利玩法&域名及IP绕过&无回显利用&挖掘点
知识点:1、WEB攻防-SSRF利用绕过-伪协议&IP及域名2、WEB攻防-SSRF挖掘思路-功能逻辑
2025-06-29 18:38:11
690
原创 Web攻防-CSRF跨站请求伪造&Referer同源&Token校验&复用删除置空&联动上传或XSS
知识点:1、Web攻防-CSRF-原理&检测&利用&防御2、Web攻防-CSRF-防御-Referer策略隐患3、Web攻防-CSRF-防御-Token校验策略隐患
2025-06-24 21:43:11
622
原创 Web攻防-XSS跨站&CSP策略&HttpOnly属性&WAF&Filter代码&符号标签&AI绕过&工具项目
知识点:1、Web攻防-XSS跨站-安全防护&CSP&Httponly&WAF&Filter等2、Web攻防-XSS跨站-工具项目&XSStrike&Chypass_pro
2025-06-23 21:58:36
1036
原创 Web攻防-XSS跨站&Cookie盗取&数据包提交&网络钓鱼&BEEF项目&XSS平台&危害利用
知识点:1、Web攻防-XSS跨站-手工代码&框架工具&在线平台2、Web攻防-XSS跨站-Cookie盗取&数据提交&网络钓鱼
2025-06-21 21:24:32
582
原创 SSRF被动检测插件-Auto-SSRF(二)
Auto-SSRF是一款基于BurpSuite MontoyaApi的自动SSRF漏洞探测插件, 捕获BurpSuite 流经Passive Audit、Proxy、Repeater的流量进行SSRF漏洞探测分析。
2025-06-20 22:28:24
367
原创 Web攻防-XSS跨站&浏览器UXSS&突变MXSS&Vue&React&Electron框架&JQuery库&写法和版本
知识点:1、Web攻防-XSS跨站-浏览器&转换-UXSS&MXSS2、Web攻防-XSS跨站-框架和库-VUE&React&Electron&JQuery
2025-06-18 21:22:37
1002
原创 Web攻防-XSS跨站&文件类型&功能逻辑&SVG&PDF&SWF&HTML&XML&PMessage&LocalStorage
知识点:1、Web攻防-XSS跨站-文件类型-html&pdf&swf&svg&xml2、Web攻防-XSS跨站-功能逻辑-postMessage&localStorage
2025-06-16 21:36:15
749
原创 Web攻防-XSS跨站&反射型&存储型&DOM型&接受输出&JS执行&标签操作
知识点:1、Web攻防-XSS跨站-原理&分类&利用点2、Web攻防-XSS跨站-反射&存储&DOM型
2025-06-12 21:33:44
181
原创 Web攻防-SQL注入&二次攻击&堆叠执行&SQLMAP&Tamper编写&指纹修改&分析调试
知识点:1、Web攻防-SQL注入-堆叠&二次注入2、Web攻防-SQL注入-SQLMAP进阶使用
2025-06-06 21:45:35
1011
原创 Web攻防-SQL注入&高权限判定&跨库查询&文件读写&DNS带外&SecurePriv开关绕过
知识点:1、Web攻防-SQL注入-高权限用户差异2、Web攻防-SQL注入-跨库注入&文件读写&DNS带外
2025-06-04 21:52:16
443
原创 Web攻防-SQL注入&增删改查&盲注&延时&布尔&报错&有无回显&错误处理
知识点:1、Web攻防-SQL注入-操作方法&增删改查2、Web攻防-SQL注入-布尔&延时&报错&盲注
2025-05-29 16:39:57
217
原创 Web攻防-SQL注入&增删改查&HTTP头&UA&XFF&Referer&Cookie&无回显报错
知识点:1、Web攻防-SQL注入-操作方法&增删改查2、Web攻防-SQL注入-HTTP头&UA&Cookie3、Web攻防-SQL注入-HTTP头&XFF&Referer
2025-05-28 16:25:37
695
原创 Web攻防-SQL注入&数据格式&参数类型&JSON&XML&编码加密&符号闭合
知识点:1、Web攻防-SQL注入-参数类型&参数格式2、Web攻防-SQL注入-XML&JSON&BASE64等3、Web攻防-SQL注入-数字字符搜索等符号绕过
2025-05-26 17:04:39
1426
原创 Web攻防-SQL注入&数据库类型&用户权限&架构分层&符号干扰&利用过程&发现思路
知识点:1、Web攻防-SQL注入-产生原理&应用因素2、Web攻防-SQL注入-各类数据库类型利用
2025-05-23 21:38:06
1315
原创 Web开发-Python应用&Flask框架&Jinja模版&绑定路由&参数传递&页面解析&SSTI注入
知识点:1、安全开发-Python-Flask&Jinja22、安全开发-Python-路由传参&SSTI注入
2025-05-20 22:08:29
331
原创 Web开发-JavaEE应用&SpringBoot栈&SnakeYaml反序列化链&JAR&WAR&构建打包
知识点:1、安全开发-JavaEE-WAR&JAR打包&反编译2、安全开发-JavaEE-SnakeYaml反序列化&链
2025-05-18 19:42:57
667
原创 Web开发-JavaEE应用&SpringBoot栈&身份验证&JWT令牌&Security鉴权&安全绕过
知识点:1、安全开发-JavaEE-身份验证-JWT&Security2、安全开发-JavaEE-安全问题-不安全写法&版本漏洞
2025-05-18 12:47:49
378
原创 Web开发-JavaEE应用&SpringBoot栈&Actuator&Swagger&HeapDump&提取自动化
知识点:1、安全开发-JavaEE-常见依赖-Actuator&Swagger2、安全开发-JavaEE-安全问题-配置安全&接口测试
2025-05-08 21:45:21
899
原创 Web开发-JavaEE应用&SpringBoot栈&模版注入&Thymeleaf&Freemarker&Velocity
知识点:1、安全开发-JavaEE-开发框架-SpringBoot&路由&传参2、安全开发-JavaEE-模版引擎-Thymeleaf&Freemarker&Velocity
2025-04-30 16:22:01
712
原创 Web开发-JavaEE应用&依赖项&Log4j日志&Shiro验证&FastJson数据&XStream格式
知识点:1、安全开发-JavaEE-第三方依赖开发安全2、安全开发-JavaEE-数据转换&FastJson&XStream3、安全开发-JavaEE-Shiro身份验证&Log4j日志处理
2025-04-27 21:25:39
762
原创 Web开发-JavaEE应用&JNDI注入&RMI服务&LDAP服务&DNS服务&高版本限制绕过
知识点:1、安全开发-JavaEE-JNDI注入-LADP&RMI&DNS等2、安全开发-JavaEE-JNDI注入-项目工具&手工原理等
2025-04-22 21:33:35
626
原创 Web开发-JavaEE应用&原生和FastJson反序列化&URLDNS链&JDBC链&Gadget手搓
知识点:1、安全开发-JavaEE-原生序列化-URLDNS链分析2、安全开发-JavaEE-FastJson-JdbcRowSetImpl链分析
2025-04-16 21:52:59
428
原创 Web开发-JavaEE应用&动态接口代理&原生反序列化&危险Invoke&重写方法&利用链
知识点:1、安全开发-JavaEE-动态代理&序列化&反序列化2、安全开发-JavaEE-readObject&toString方法
2025-04-13 20:50:32
482
原创 Web开发-JavaEE应用&反射机制&类加载器&利用链&成员变量&构造方法&抽象方法
知识点:1、安全开发-JavaEE-类加载器&反射机制&链安全2、安全开发-JavaEE-成员变量&成员方法&构造方法
2025-04-09 20:03:32
982
原创 Web开发-JavaEE应用&ORM框架&SQL预编译&JDBC&MyBatis&Hibernate&Maven
知识点:0、安全开发-JavaEE-构建工具-Maven1、安全开发-JavaEE-ORM框架-JDBC2、安全开发-JavaEE-ORM框架-Mybatis3、安全开发-JavaEE-ORM框架-Hibernate4、安全开发-JavaEE-ORM框架-SQL注入&预编译
2025-04-01 21:16:35
422
原创 Web开发-JavaEE应用&Servlet技术&路由配置&方法执行流程&过滤器Filter&监听器Listen
知识点:1、安全开发-JavaEE-Servlet技术2、安全开发-JavaEE-监听器&过滤器
2025-03-31 21:02:57
340
原创 Web开发-JS应用&微信小程序&源码架构&编译预览&逆向调试&嵌套资产&代码审计
知识点:1、安全开发-微信小程序-搭建&开发&架构&安全2、安全开发-微信小程序-编译调试&反编译&泄露
2025-03-30 19:54:39
1541
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人