卓文见识-腾讯云开发者社区

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

卓文见识

专栏成员

44

文章

273362

阅读量

41

订阅数

Spring Core-RCE深入分析及步步调试出payload

编程算法安全 http tomcat android

既然Spring最新0day漏洞是绕过CVE-2010-1622的修复方式后产生的，那就从这个古老漏洞的本质：参数绑定入手，搭建环境进行调试。

2022-04-19

1.3K0

CVE-2020-5902——关于;号绕过认证技巧总结

php tomcat servlet http java

借BIG IPCVE-2020-5902 漏洞的payload说一下前端认证绕过，注意这里用到的;分号，是不是在很多认证绕过的payload里都见过。

2020-07-13

5K0

Python安全之SSTI——Flask/Jinja2

http 网络安全安全 python

SSTI（Server Side Template Injection），又称服务端模板注入攻击。其发生在MVC框架中的view层，常见的用于渲染的模板有Twig、FreeMarker、Velocity、Smarty等。

2020-06-02

4K0

XXE注入高端操作攻击payload汇总【补】

xml http 网站

<!ENTITYcontent SYSTEM"file:///etc/passwd">]>

2019-09-29

6.4K0

SSRF漏洞原理、挖掘技巧及实战案例全汇总

http 安全 tcp/ip php https

SSRF(Server-Side Request Forgery：服务器端请求伪造)产生原因是服务端提供了从其他服务器应用获取数据的功能，比如从指定URL地址获取网页文本内容，加载指定地址的图片，下载等等。

2019-09-29

5.1K0

Weblogic反序列化历史漏洞全汇总

文件存储 java http https xml

序列化是让Java对象脱离Java运行环境的一种手段，可以有效的实现多平台之间的通信、对象持久化存储。

2019-09-29

7.5K0

CRLF注入（响应截断）挖掘技巧及实战案例全汇总

http 网络安全安全 html

CRLF是CR和LF两个字符的拼接，它们分别代表”回车+换行”（\r\n）“，全称为Carriage Return/Line Feed”，十六进制编码分别为0x0d和0x0a，URL编码为%0D和%0A。CR和LF组合在一起即CRLF命令，它表示键盘上的"Enter"键，许多应用程序和网络协议使用这些命令作为分隔符。

2019-09-29

8.2K0

参数污染漏洞（HPP）挖掘技巧及实战案例全汇总

安全 php https http sql

HTTP参数污染，也叫HPP（HTTP Parameter Pollution）。简单地讲就是给一个参数赋上两个或两个以上的值，由于现行的HTTP标准没有提及在遇到多个输入值给相同的参数赋值时应该怎样处理，而且不同的网站后端做出的处理方式是不同的，从而造成解析错误。

2019-09-29

7.5K0

没有更多了

社区活动

【纪录片】中国数据库前世今生

穿越半个世纪，探寻中国数据库50年的发展历程

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态