腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
卓文见识
专栏作者
举报
44
文章
237976
阅读量
41
订阅数
订阅专栏
申请加入专栏
全部文章
安全
网络安全
https
html
文件存储
php
java
http
json
xml
sql
网站
编程算法
python
腾讯云测试服务
javascript
android
数据库
jsp
jquery
github
tomcat
tcp/ip
费用中心
负载均衡
bash
servlet
node.js
css
access
打包
ide
git
jar
struts
bash 指令
spring
访问管理
命令行工具
SSL 证书
开源
缓存
黑客
爬虫
shell
jdk
正则表达式
mybatis
dubbo
数据分析
windows
安全漏洞
搜索文章
搜索
搜索
关闭
[CVE-2020-1948] Apache Dubbo Provider反序列化漏洞复现及分析
https
文件存储
html
dubbo
github
Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Jayway
2020-07-01
2.3K
0
jQuery最新xss漏洞分析——CVE-2020-11022/11023
jquery
安全
网络安全
html
正则表达式
jQuery官方上周发布了最新版本3.5.0,主要修复了两个安全问题,官方博客为:
Jayway
2020-06-03
24.6K
0
CTF系列——DASCTF四月春季赛Writeup
文件存储
编程算法
https
费用中心
html
很久没正式打CTF,周末抽空参加了下安恒四月赛的DASCTF,个别题目质量还是蛮高的,这里把做出来的和赛后补充的做个记录。
Jayway
2020-05-09
4.6K
1
IDEA动态调试(三)——反序列化漏洞(xml+Yaml)
文件存储
xml
json
java
html
大多数 java 项目用来处理数据基本上都是xml 和 json 两种格式,上篇讲了fastjson的反序列化,另一个json处理库jackson的漏洞原理和利用方式类似。
Jayway
2020-03-12
2.6K
0
跨站请求伪造(CSRF)挖掘技巧及实战案例全汇总
安全
https
网络安全
html
网站
Cross-Site Request Forgery跨站请求伪造漏洞,简称CSRF或XSRF,强制最终用户在当前对其进行身份验证的Web应用程序上执行不需要的操作,浏览器的安全策略是允许当前页面发送到任何地址的请求,所以用户在浏览无法控制的资源时,攻击者可以控制页面的内容来控制浏览器发送它精心构造的请求。
Jayway
2019-09-29
6.1K
0
点击劫持(ClickJacking)漏洞挖掘及实战案例全汇总
安全
网络安全
html
点击劫持(Click Jacking)是一种视觉上的欺骗手段,攻击者通过使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,通过调整iframe页面的位置,可以使得伪造的页面恰好和iframe里受害页面里一些功能重合(按钮),以达到窃取用户信息或者劫持用户操作的目的。
Jayway
2019-09-29
6.8K
0
浏览器解析与编码顺序及xss挖掘绕过全汇总
javascript
html
网络安全
php
在以往的培训和渗透过程中,发现很多渗透人员尤其是初学者在挖掘xss漏洞时,很容易混淆浏览器解析顺序和解码顺序,对于html和js编码、解码和浏览器解析顺序、哪些元素可以解码、是否可以借助编码绕过等情况也基本处于混沌的状态,导致最终只能扔一堆payload上去碰碰运气。这篇文章就把浏览器解析顺序、编码解码的类型、各种解码的有效作用域以及在xss里的实战利用技巧做一个系统总结,让你深度掌握xss挖掘和绕过。
Jayway
2019-09-29
4.6K
0
RFD(反射型文件下载)漏洞原理及实战案例全汇总
安全
json
php
html
https
RFD,即Reflected File Download反射型文件下载漏洞,是一个2014年来自BlackHat的漏洞。这个漏洞在原理上类似XSS,在危害上类似DDE:攻击者可以通过一个URL地址使用户下载一个恶意文件,从而危害用户的终端PC。
Jayway
2019-09-29
3.7K
2
文件上传漏洞另类绕过技巧及挖掘案例全汇总
php
shell
安全
html
jsp
文件上传漏洞作为获取服务器权限最快的方式,虽然相关资料很多,但很多人对上传校验方式、如何针对性绕过检测、哪种上传和解析的场景会产生危害等还是比较模糊。本文作一些阐述,然后补充一些除了上传webshell的其他非常规挖掘姿势,包括XSS、重定向、Dos、CSRF等等。
Jayway
2019-09-29
6.3K
0
模板注入漏洞全汇总
html
node.js
网络安全
安全
php
在MVC的设计模式下,一般从 Model 层中读取数据,然后将数据传到 View 层渲染(渲染成 HTML 文件),而 View 层一般都会用到模板引擎。
Jayway
2019-09-29
7.8K
0
CRLF注入(响应截断)挖掘技巧及实战案例全汇总
http
网络安全
安全
html
CRLF是CR和LF两个字符的拼接,它们分别代表”回车+换行”(\r\n)“,全称为Carriage Return/Line Feed”,十六进制编码分别为0x0d和0x0a,URL编码为%0D和%0A。CR和LF组合在一起即CRLF命令,它表示键盘上的"Enter"键,许多应用程序和网络协议使用这些命令作为分隔符。
Jayway
2019-09-29
7.2K
0
jQuery框架漏洞全总结及开发建议
安全
安全漏洞
jquery
javascript
html
jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。
Jayway
2019-09-29
17.1K
0
JSON相关漏洞(Hijacking+Injection)挖掘技巧及实战案例全汇总
javascript
安全
json
html
网络安全
本文一是在为测试过程中遇到json返回格式时提供测试思路,二是几乎所有国内的资料都混淆了json和jsonp的区别——这是两种技术;以及json和jsonp hijacking的区别——这是两个漏洞,这里做个解释。
Jayway
2019-09-29
7.3K
0
没有更多了
社区活动
腾讯技术创作狂欢月
“码”上创作 21 天,分 10000 元奖品池!
立即发文
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档