腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
有价值炮灰
专栏成员
举报
97
文章
101320
阅读量
10
订阅数
订阅专栏
申请加入专栏
全部文章(97)
网络安全(35)
安全(26)
编程算法(25)
linux(16)
android(15)
https(14)
java(10)
tcp/ip(10)
c++(9)
打包(9)
http(9)
缓存(7)
网站(6)
单片机(5)
NAT 网关(5)
SSL 证书(5)
nat(5)
硬件开发(4)
udp(4)
ipv6(4)
漏洞(4)
ios(3)
python(3)
javascript(3)
bash(3)
unix(3)
spring(3)
腾讯云测试服务(3)
开源(3)
应用安全开发(3)
路由(3)
配置(3)
c 语言(2)
html(2)
汇编语言(2)
arm(2)
access(2)
git(2)
bash 指令(2)
访问管理(2)
移动应用安全(2)
数据加密服务(2)
容器(2)
shell(2)
ssh(2)
dns(2)
数据分析(2)
安全漏洞(2)
数据结构(2)
腾讯云开发者社区(2)
url(2)
编译(2)
框架(2)
数据(2)
序列化(2)
对象存储(1)
官方文档(1)
objective-c(1)
iphone(1)
xcode(1)
php(1)
vbscript(1)
node.js(1)
xml(1)
数据库(1)
oracle(1)
nosql(1)
sql(1)
github(1)
svn(1)
搜索引擎(1)
apache(1)
nginx(1)
文件存储(1)
存储(1)
自动化(1)
黑客(1)
爬虫(1)
jdk(1)
单元测试(1)
markdown(1)
rpc(1)
kernel(1)
socket编程(1)
windows(1)
网站建设(1)
虚拟化(1)
防火墙(1)
unicode(1)
utf8(1)
ascii(1)
迁移(1)
boot(1)
com(1)
data(1)
field(1)
ip(1)
monitor(1)
path(1)
reverse(1)
security(1)
sip(1)
struts2(1)
vim(1)
wifi(1)
测试(1)
代理服务器(1)
对象(1)
二维码(1)
服务(1)
工具(1)
接口(1)
路由器(1)
索引(1)
系统(1)
线程(1)
协议(1)
源码(1)
代码审计(1)
搜索文章
搜索
搜索
关闭
Java 应用安全之 JEB Floating License 绕过
安全
编译
线程
java
打包
最近一朋友单位采购了 JEB Pro 用于 Android 逆向,但使用的是 Floating License,因此只能在公司内网中使用。这样一来朋友在节假日就没法卷了,于是找到了我看有没有兴趣研究一下。虽然笔者之前搞过一段时间 Java 逆向,但那主要针对 Android 应用,对于 PC 应用那是大姑娘坐花轿 —— 头一回。本着学习新知识的心态,就接下了这个任务。
evilpan
2024-05-04
65
0
使用 VIM 进行代码审计
vim
工具
索引
源码
代码审计
作为一个安服仔,代码审计是一项必备的技能。说好听点是 code review,说直白点就是看代码。说起代码审计这件事,大家都比较关注 source、sink、漏洞模式,而对于代码审计的工具却谈及甚少。因此,本文就来抛砖引玉,谈谈笔者自己的经验。
evilpan
2024-04-28
92
0
初探 Struts2 框架安全
安全
struts2
框架
路由
配置
最近分析 confluence 的漏洞,发现是基于 Struts 框架的,其中有很多相关知识点并不了解,因此专门来学习一下 Struts 2。
evilpan
2023-11-02
356
0
针对二维码解析库的 Fuzzing 测试
编译
测试
二维码
数据
序列化
在四月份的时候出了那么一个新闻,说微信有一个打开图片就崩溃的 bug,当时微信群里都在传播导致手机各种闪退。
evilpan
2023-10-17
313
0
浅谈 URL 解析与鉴权中的陷阱
apache
容器
path
url
路由
最近一段时间都在审计 Java 代码,也算是积累了一些各式各样小技巧,但总感觉不够体系化。因此有必要先停下来,跳出业务逻辑并后退一步,更加深入地思考一下漏洞背后的成因。
evilpan
2023-10-17
499
0
URL 解析与鉴权中的陷阱 —— Spring 篇
spring
url
接口
路由
配置
在上一篇文章中介绍了 Java Web 应用中 URL 解析与鉴权认证中的常见陷阱,但主要针对 Servlet 容器进行分析。前文末尾也提到了,当前 Web 应用多是使用 Spring 全家桶进行开发,其路由匹配方式又与传统 Web 容器有所差异,因此本文就对其进行分析。
evilpan
2023-10-17
658
0
Fuzzing 在 Java 漏洞挖掘中的应用
java
安全
ip
服务
漏洞
前段时间泛微发布了 10.58.6 补丁,修复好几个笔者之前储备的 0day,本文就来介绍其中一系列比较有意思的漏洞,以及分享一下相关的挖掘思路。
evilpan
2023-10-17
367
0
Spring {Boot,Data,Security} 历史漏洞研究
spring
boot
data
security
漏洞
书接上回,这次对 Spring Boot、Spring Data 以及 Spring Security 中的一些核心概念进行介绍并分析一些典型的历史漏洞。
evilpan
2023-05-03
2.3K
0
Spring Framework 历史漏洞研究
spring
容器
框架
漏洞
配置
本文的主要目标是分析、总结、归纳历史上出现过的 Spring 框架漏洞,从而尝试找出其中的潜在模式,以达到温故知新的目的。当然作为一个 Java 新手,在直接分析漏洞之前,还是会先从开发者的角度去学习 Spring 中的一些核心概念,从而为后续的理解奠定基础。
evilpan
2023-04-28
841
0
Android 反序列化漏洞攻防史话
android
对象
漏洞
数据
序列化
Java 在历史上出现过许多反序列化的漏洞,但大部分出自 J2EE 的组件。即便是 FastJSON 这种漏洞,似乎也很少看到在 Android 中被实际的触发和利用。本文即为对历史上曾出现过的 Android Java 反序列化漏洞的分析和研究记录。
evilpan
2023-03-27
1.7K
0
Reverse Shell 杂谈
bash
shell
reverse
系统
协议
昨天有个小伙伴在群里问在 macOS 下如何实现 bash 反弹 shell,因为 Mac 中没有 /dev/tcp 目录。借着这个问题,就来简单谈谈反弹 shell 的那些事。
evilpan
2023-03-27
401
0
Frida Internal - Part 2: 核心组件 frida-core
网络安全
android
javascript
linux
前文已经介绍了 frida 中的核心组件 frida-gum 以及对应的 js 接口 gum-js,但仅有这些基础功能并不能让 frida 成为如此受欢迎的 Instrumentation (hook) 框架。为了实现一个完善框架或者说工具,需要实现许多系统层的功能。比如进程注入、进程间通信、会话管理、脚本生命周期管理等功能,屏蔽部分底层的实现细节并给最终用户提供开箱即用的操作接口。而这一切的实现都在 frida-core 之中,正如名字所言,这其中包含了 frida 相关的大部分关键模块和组件,比如 frida-server、frida-gadget、frida-agent、frida-helper、frida-inject 以及之间的互相通信底座。本文主要节选其中关键的部分进行分析和介绍。
evilpan
2023-02-12
2.4K
0
Frida Internal - Part 1: 架构、Gum 与 V8
编程算法
c++
打包
frida 是一个非常优秀的开源项目,因为项目活跃,代码整洁,接口清晰,加上用灵活的脚本语言(JS)来实现指令级代码追踪的能力,为广大的安全研究人员所喜爱。虽然使用人群广泛,但对其内部实现的介绍却相对较少,因此笔者就越俎代庖,替作者写写 frida 内部实现介绍,同时也作为自己的阅读理解记录。
evilpan
2023-02-12
1.1K
0
Frida Internal - Part 3: Java Bridge 与 ART hook
java
javascript
android
前面的文章中介绍了 frida 的基础组件 frida-core,用于实现进程注入、通信和管理等功能。加上 frida-gum 和 gum-js 的核心能力,我们已经可以很方便地使用 JavaScript 脚本来进行代码劫持、动态跟踪等进程分析操作。
evilpan
2023-02-12
1.3K
0
阿里味儿的代码审计随想
安全
编程算法
php
网络安全
笔者几年前曾就职于阿里,虽然现在已经不在,但仍对其中的一些企业文化印象深刻。“阿里味儿” 是对于阿里企业文化的统称,其中最有味儿的话之一是 点线面体局势,大致是对应不同层级的员工要求。比如 P6 是点,在某些技能上实现专精;P7 是线,会懂得横向规划和发展,……诸如此类。
evilpan
2023-02-12
544
0
深入浅出 SSL/TLS 协议
SSL 证书
https
有没有那么一个人,几乎每天都在你身边,但某天发生一些事情后你会突然发现,自己完全不了解对方。对于笔者而言,这个人就是 TLS,虽然每天都会用到,却并不十分清楚其中的猫腻。因此在碰壁多次后,终于决定认真学习一下 TLS,同时还是奉行 Learning by Teaching 的原则,因此也就有了这篇稍显啰嗦的文章。
evilpan
2023-02-12
1.3K
0
终端应用安全之网络流量分析
安全
SSL 证书
http
https
网络安全
在日常对客户端应用进行安全审计或者漏洞挖掘的时候,或多或少都会涉及到网络协议的分析。而对于业务风控安全而言,APP 的网络请求往往也代表着终端安全防御水平的上限,因为客户端是掌控在攻击者手中的,服务端的业务逻辑才是安全的核心兜底保障。
evilpan
2023-02-12
1.5K
0
ptmalloc cheatsheet
编程算法
c++
最近公司被要求参加某网络安全比赛,所以借此机会又重新阅读了 glibc malloc 的最新代码,发现了许多之前未曾深究的细节。故整理成此文,也算是对从前文章的补充了。
evilpan
2023-02-12
201
0
IO_FILE 与高版本 glibc 中的漏洞利用技巧
缓存
数据结构
编程算法
网络安全
安全
在日常的二进制漏洞利用过程中,最终在获取到任意地址读写之都会面临一个问题: 要从哪里读,写到哪里去。对于信息泄露有很多方法,比如寻找一些数据结构在内存中残留的地址,可以是内部结构,也可以是用户定义的结构;相比而言,内存写原语的使用场景就相对有限了。因为在当今的系统安全纵深防护之下,代码和数据已经呈现了严格分离的趋势,可读可写可执行的历史遗留问题会逐渐退出历史舞台。更多的利用方法是关注代码重用(ROP)、可修改的函数指针、面向对象引入的多态调用等等。
evilpan
2023-02-12
936
0
IDA 中的大规模路径搜索方法
编程算法
问题似乎很简单,IDA 工具本身就提供了查看调用链路的功能,懂得 IDAPython 的也可以很容易写出下面的程序:
evilpan
2023-02-12
504
0
点击加载更多
社区活动
AI代码助手快速上手训练营
鹅厂大牛带你玩转AI智能结对编程
立即学习
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档