自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(474)
  • 收藏
  • 关注

原创 Web攻防-PHP反序列化&字符逃逸&增多减少&成员变量属性&解析不敏感&Wakeup绕过

知识点:1、WEB攻防-PHP反序列化-CVE&wakeup绕过2、WEB攻防-PHP反序列化-PHP版本绕过机制3、WEB攻防-PHP反序列化-字符增多减少逃逸

2025-07-15 21:29:59 221

原创 Web攻防-PHP反序列化&原生内置类&Exception类&SoapClient类&SimpleXMLElement

知识点:1、WEB攻防-PHP反序列化-原生类&生成及利用条件2、WEB攻防-PHP反序列化-Exception触发XSS3、WEB攻防-PHP反序列化-SoapClient触发SSRF4、WEB攻防-PHP反序列化-SimpleXMLElement触发XXE

2025-07-13 18:30:35 479

原创 Web攻防-PHP反序列化&魔术方法&触发条件&POP链构造&变量属性修改&黑白盒角度

知识点:1.WEB攻防-PHP反序列化-序列化和反序列化2.WEB攻防-PHP反序列化-常见魔术方法触发规则3.WEB攻防-PHP反序列化-反序列化漏洞产生原因4.WEB攻防-PHP反序列化-黑白盒&POP链构造

2025-07-13 11:09:04 732

原创 Web攻防-SSTI服务端&模版注入&利用分类&语言引擎&数据渲染&项目工具&挖掘思路

知识点:1、WEB攻防-SSTI-利用分类&功能点2、WEB攻防-SSTI-利用项目&挖掘思路

2025-07-11 22:22:56 307

原创 Web攻防-RCE&代码执行&命令执行&无回显方案&功能点&引发链&黑盒功能点&白盒审计

知识点:1、WEB攻防-RCE-代码执行&命令执行&无回显2、WEB攻防-RCE-功能点&引发链3、WEB攻防-RCE-黑盒案例&白盒审计&CTF

2025-07-08 22:18:55 520

原创 Web攻防-XML&XXE&上传解析&文件预览&接口服务&白盒审计&应用功能&SRC报告

知识点:1、WEB攻防-XML&XXE-黑盒功能点挖掘2、WEB攻防-XML&XXE-白盒函数点挖掘3、WEB攻防-XML&XXE-SRC报告

2025-07-06 20:44:18 490

原创 Web攻防-XML&XXE&无回显带外&SSRF元数据&DTD实体&OOB盲注&文件拓展

知识点:1、WEB攻防-XML&XXE-注入原理&分类&修复2、WEB攻防-XML&XXE-文件读取&SSRF&实体引用3、WEB攻防-XML&XXE-无回显&升级拓展&挖掘思路

2025-07-06 17:04:04 1251

原创 Web攻防-文件下载&文件读取&文件删除&目录遍历&路径穿越

知识点:1、WEB攻防-文件下载&读取&删除-功能点&URL2、WEB攻防-目录遍历&穿越-功能点&URL

2025-07-05 19:27:15 366

原创 WEB攻防-文件包含&LFI&RFI&伪协议编码算法&无文件利用&黑白盒

知识点:1、文件包含-原理&分类&危害-LFI&RFI2、文件包含-利用-黑白盒&无文件&伪协议

2025-07-05 15:15:24 882

原创 Web攻防-文件上传&黑白名单&MIME&JS前端&执行权限&编码解析&OSS存储&分域名&应用场景

知识点:1、WEB攻防-文件上传-前端&黑白名单&MIME&文件头等2、WEB攻防-文件上传-执行权限&解码还原&云存储&分站等3、WEB攻防-文件上传-JS提取&特定漏洞&第三方编辑器4、WEB攻防-文件上传-思维导图形成

2025-07-03 21:09:26 530

原创 Web攻防-SSRF服务端伪造&功能逻辑&SRC实践复盘&参数盲测&自动化检测&流量插件

知识点:WEB攻防-SSRF插件结合-SRC复盘与实战

2025-06-30 21:03:52 245

原创 Web攻防-SSRF服务端伪造&伪协议利玩法&域名及IP绕过&无回显利用&挖掘点

知识点:1、WEB攻防-SSRF利用绕过-伪协议&IP及域名2、WEB攻防-SSRF挖掘思路-功能逻辑

2025-06-29 18:38:11 687

原创 Web攻防-CSRF跨站请求伪造&Referer同源&Token校验&复用删除置空&联动上传或XSS

知识点:1、Web攻防-CSRF-原理&检测&利用&防御2、Web攻防-CSRF-防御-Referer策略隐患3、Web攻防-CSRF-防御-Token校验策略隐患

2025-06-24 21:43:11 619

原创 Web攻防-XSS跨站&CSP策略&HttpOnly属性&WAF&Filter代码&符号标签&AI绕过&工具项目

知识点:1、Web攻防-XSS跨站-安全防护&CSP&Httponly&WAF&Filter等2、Web攻防-XSS跨站-工具项目&XSStrike&Chypass_pro

2025-06-23 21:58:36 1033

原创 Web攻防-XSS跨站&Cookie盗取&数据包提交&网络钓鱼&BEEF项目&XSS平台&危害利用

知识点:1、Web攻防-XSS跨站-手工代码&框架工具&在线平台2、Web攻防-XSS跨站-Cookie盗取&数据提交&网络钓鱼

2025-06-21 21:24:32 580

原创 SSRF被动检测插件-Auto-SSRF(二)

Auto-SSRF是一款基于BurpSuite MontoyaApi的自动SSRF漏洞探测插件, 捕获BurpSuite 流经Passive Audit、Proxy、Repeater的流量进行SSRF漏洞探测分析。

2025-06-20 22:28:24 361

原创 Web攻防-XSS跨站&浏览器UXSS&突变MXSS&Vue&React&Electron框架&JQuery库&写法和版本

知识点:1、Web攻防-XSS跨站-浏览器&转换-UXSS&MXSS2、Web攻防-XSS跨站-框架和库-VUE&React&Electron&JQuery

2025-06-18 21:22:37 996

原创 Web攻防-XSS跨站&文件类型&功能逻辑&SVG&PDF&SWF&HTML&XML&PMessage&LocalStorage

知识点:1、Web攻防-XSS跨站-文件类型-html&pdf&swf&svg&xml2、Web攻防-XSS跨站-功能逻辑-postMessage&localStorage

2025-06-16 21:36:15 746

原创 Web攻防-XSS跨站&反射型&存储型&DOM型&接受输出&JS执行&标签操作

知识点:1、Web攻防-XSS跨站-原理&分类&利用点2、Web攻防-XSS跨站-反射&存储&DOM型

2025-06-12 21:33:44 180

原创 Web攻防-SQL注入&二次攻击&堆叠执行&SQLMAP&Tamper编写&指纹修改&分析调试

知识点:1、Web攻防-SQL注入-堆叠&二次注入2、Web攻防-SQL注入-SQLMAP进阶使用

2025-06-06 21:45:35 1011

原创 Web攻防-SQL注入&高权限判定&跨库查询&文件读写&DNS带外&SecurePriv开关绕过

知识点:1、Web攻防-SQL注入-高权限用户差异2、Web攻防-SQL注入-跨库注入&文件读写&DNS带外

2025-06-04 21:52:16 440

原创 Web攻防-SQL注入&增删改查&盲注&延时&布尔&报错&有无回显&错误处理

知识点:1、Web攻防-SQL注入-操作方法&增删改查2、Web攻防-SQL注入-布尔&延时&报错&盲注

2025-05-29 16:39:57 217

原创 Web攻防-SQL注入&增删改查&HTTP头&UA&XFF&Referer&Cookie&无回显报错

知识点:1、Web攻防-SQL注入-操作方法&增删改查2、Web攻防-SQL注入-HTTP头&UA&Cookie3、Web攻防-SQL注入-HTTP头&XFF&Referer

2025-05-28 16:25:37 694

原创 Web攻防-SQL注入&数据格式&参数类型&JSON&XML&编码加密&符号闭合

知识点:1、Web攻防-SQL注入-参数类型&参数格式2、Web攻防-SQL注入-XML&JSON&BASE64等3、Web攻防-SQL注入-数字字符搜索等符号绕过

2025-05-26 17:04:39 1426

原创 Web攻防-SQL注入&数据库类型&用户权限&架构分层&符号干扰&利用过程&发现思路

知识点:1、Web攻防-SQL注入-产生原理&应用因素2、Web攻防-SQL注入-各类数据库类型利用

2025-05-23 21:38:06 1311

原创 Web开发-Python应用&Flask框架&Jinja模版&绑定路由&参数传递&页面解析&SSTI注入

知识点:1、安全开发-Python-Flask&Jinja22、安全开发-Python-路由传参&SSTI注入

2025-05-20 22:08:29 329

原创 Web开发-JavaEE应用&SpringBoot栈&SnakeYaml反序列化链&JAR&WAR&构建打包

知识点:1、安全开发-JavaEE-WAR&JAR打包&反编译2、安全开发-JavaEE-SnakeYaml反序列化&链

2025-05-18 19:42:57 665

原创 Web开发-JavaEE应用&SpringBoot栈&身份验证&JWT令牌&Security鉴权&安全绕过

知识点:1、安全开发-JavaEE-身份验证-JWT&Security2、安全开发-JavaEE-安全问题-不安全写法&版本漏洞

2025-05-18 12:47:49 377

原创 Web开发-JavaEE应用&SpringBoot栈&Actuator&Swagger&HeapDump&提取自动化

知识点:1、安全开发-JavaEE-常见依赖-Actuator&Swagger2、安全开发-JavaEE-安全问题-配置安全&接口测试

2025-05-08 21:45:21 899

原创 Web开发-JavaEE应用&SpringBoot栈&模版注入&Thymeleaf&Freemarker&Velocity

知识点:1、安全开发-JavaEE-开发框架-SpringBoot&路由&传参2、安全开发-JavaEE-模版引擎-Thymeleaf&Freemarker&Velocity

2025-04-30 16:22:01 712

原创 Web开发-JavaEE应用&依赖项&Log4j日志&Shiro验证&FastJson数据&XStream格式

知识点:1、安全开发-JavaEE-第三方依赖开发安全2、安全开发-JavaEE-数据转换&FastJson&XStream3、安全开发-JavaEE-Shiro身份验证&Log4j日志处理

2025-04-27 21:25:39 762

原创 Web开发-JavaEE应用&JNDI注入&RMI服务&LDAP服务&DNS服务&高版本限制绕过

知识点:1、安全开发-JavaEE-JNDI注入-LADP&RMI&DNS等2、安全开发-JavaEE-JNDI注入-项目工具&手工原理等

2025-04-22 21:33:35 625

原创 Web开发-JavaEE应用&原生和FastJson反序列化&URLDNS链&JDBC链&Gadget手搓

知识点:1、安全开发-JavaEE-原生序列化-URLDNS链分析2、安全开发-JavaEE-FastJson-JdbcRowSetImpl链分析

2025-04-16 21:52:59 426

原创 Web开发-JavaEE应用&动态接口代理&原生反序列化&危险Invoke&重写方法&利用链

知识点:1、安全开发-JavaEE-动态代理&序列化&反序列化2、安全开发-JavaEE-readObject&toString方法

2025-04-13 20:50:32 481

原创 Web开发-JavaEE应用&反射机制&类加载器&利用链&成员变量&构造方法&抽象方法

知识点:1、安全开发-JavaEE-类加载器&反射机制&链安全2、安全开发-JavaEE-成员变量&成员方法&构造方法

2025-04-09 20:03:32 980

原创 Web开发-JavaEE应用&ORM框架&SQL预编译&JDBC&MyBatis&Hibernate&Maven

知识点:0、安全开发-JavaEE-构建工具-Maven1、安全开发-JavaEE-ORM框架-JDBC2、安全开发-JavaEE-ORM框架-Mybatis3、安全开发-JavaEE-ORM框架-Hibernate4、安全开发-JavaEE-ORM框架-SQL注入&预编译

2025-04-01 21:16:35 416

原创 Web开发-JavaEE应用&Servlet技术&路由配置&方法执行流程&过滤器Filter&监听器Listen

知识点:1、安全开发-JavaEE-Servlet技术2、安全开发-JavaEE-监听器&过滤器

2025-03-31 21:02:57 334

原创 Web开发-JS应用&微信小程序&源码架构&编译预览&逆向调试&嵌套资产&代码审计

知识点:1、安全开发-微信小程序-搭建&开发&架构&安全2、安全开发-微信小程序-编译调试&反编译&泄露

2025-03-30 19:54:39 1541

原创 Web开发-JS应用&VueJS框架&Vite构建&启动打包&渲染XSS&源码泄露&代码审计

知识点:1、安全开发-VueJS-搭建启动&打包安全2、安全开发-VueJS-源码泄漏&代码审计

2025-03-28 16:05:04 666

原创 Web开发-JS应用&WebPack构建&打包Mode&映射DevTool&源码泄漏&识别还原

知识点:1、安全开发-WebPack-构建打包器2、安全开发-WebPack-源码泄漏还原

2025-03-26 22:02:47 691

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除