腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
卓文见识
专栏成员
举报
44
文章
273603
阅读量
41
订阅数
订阅专栏
申请加入专栏
全部文章(44)
安全(34)
网络安全(24)
https(14)
html(13)
文件存储(11)
php(9)
java(8)
http(8)
json(6)
xml(5)
sql(5)
网站(5)
编程算法(5)
python(4)
腾讯云测试服务(4)
javascript(3)
android(3)
数据库(3)
jsp(2)
jquery(2)
github(2)
tomcat(2)
tcp/ip(2)
费用中心(1)
负载均衡(1)
bash(1)
servlet(1)
node.js(1)
css(1)
access(1)
打包(1)
ide(1)
git(1)
jar(1)
struts(1)
bash 指令(1)
spring(1)
访问管理(1)
命令行工具(1)
SSL 证书(1)
开源(1)
缓存(1)
黑客(1)
爬虫(1)
shell(1)
jdk(1)
正则表达式(1)
mybatis(1)
dubbo(1)
数据分析(1)
windows(1)
安全漏洞(1)
搜索文章
搜索
搜索
关闭
【安全攻防】安全告警分析处置与模型开发思考
安全
网络安全
bash
bash 指令
tcp/ip
在企业安全运营中,安全运营中心(SOC)部署了各种安全设备,收集到了海量安全数据,并针对这些数据开发出各种检测模型,但随之而来的问题就是:
Jayway
2022-11-24
1.6K
0
从漏洞挖掘角度分析fastjson1.2.80 Bypass
文件存储
网络安全
安全
java
编程算法
Fastjson中parse方法或者parseObject可以将JSON串转化成Java对象,json数据外部可控的情况下可能出现fastjson反序列化漏洞。
Jayway
2022-08-30
2.1K
0
jQuery最新xss漏洞分析——CVE-2020-11022/11023
jquery
安全
网络安全
html
正则表达式
jQuery官方上周发布了最新版本3.5.0,主要修复了两个安全问题,官方博客为:
Jayway
2020-06-03
30K
0
Python安全之反序列化——pickle/cPickle
文件存储
编程算法
网络安全
安全
python
Python中有两个模块可以实现对象的序列化,pickle和cPickle,区别在于cPickle是用C语言实现的,pickle是用纯python语言实现的,用法类似,cPickle的读写效率高一些。使用时一般先尝试导入cPickle,如果失败,再导入pickle模块。
Jayway
2020-06-02
3.4K
0
Python安全之SSTI——Flask/Jinja2
http
网络安全
安全
python
SSTI(Server Side Template Injection),又称服务端模板注入攻击。其发生在MVC框架中的view层,常见的用于渲染的模板有Twig、FreeMarker、Velocity、Smarty等。
Jayway
2020-06-02
4K
0
IDEA动态调试(二)——反序列化漏洞(Fastjson)
文件存储
网络安全
安全
java
json
成因:在把其他格式的数据反序列化成java类的过程中,由于输入可控,导致可以执行其他恶意命令,但追根究底是需要被反序列化的类中重写了readObject方法,且被重写的readObject方法/调用链中被插入了恶意命令。
Jayway
2020-03-16
2.3K
0
IDEA动态调试(一)——OGNL表达式注入(S2-001)
struts
网站
网络安全
安全
jsp
首先在IDEA中搭建调试环境,File-New-Java Enterprise,选择Web Application:
Jayway
2020-03-12
2.5K
0
Java代码审计汇总系列(二)——XXE注入
xml
网络安全
安全
java
OWASP Top 10中的另一个注入漏洞是XML外部实体注入(XXE),它是在解析XML输入时产生的一种漏洞,漏洞原理和黑盒挖掘技巧见之前的文章:XML外部实体(XXE)注入原理解析及实战案例全汇总,这里从代码层角度挖掘XXE漏洞。
Jayway
2019-11-12
2.4K
0
Java代码审计汇总系列(一)——SQL注入
sql
安全
mybatis
网络安全
java
相比黑盒渗透的漏洞挖掘方式,代码审计具有更高的可靠性和针对性,更多的是依靠对代码、架构的理解;使用的审计工具一般选择Eclipse或IDEA;审计工作过程主要有三步:风险点发现——>风险定位追踪——>漏洞利用,所以审计不出漏洞无非就是find:“找不到该看哪些代码”和judge:“定位到代码但判断不出有没有问题”。而风险点发现的重点则在于三个地方:用户输入(入参)处+检测绕过处+漏洞触发处,一般审计代码都是借助代码扫描工具(Fortify/Checkmarx)或从这三点着手。
Jayway
2019-11-07
3.7K
0
APP端测试系列(2)——服务端安全
安全
腾讯云测试服务
https
网络安全
数据库
包括密码复杂度(弱口令)、多因素检验(验证码)、失败锁定机制、单点登录限制等方面;
Jayway
2019-10-10
1.9K
0
CORS配置不当—挖掘技巧及实战案例全汇总
access
安全
https
网络安全
CORS,即跨源资源共享(Cross-Origin Resource Sharing)。同源策略(Same OriginPolicy)要求不同源之间是无法通信的,而CORS则是放宽同源策略以通过浏览器实现网站之间通信的机制。
Jayway
2019-09-29
6.6K
4
信息泄露(Information Exposure)挖掘及实战案例全汇总
安全
css
腾讯云测试服务
https
网络安全
信息泄露(InformationExposure)漏洞是有意或无意地向未明确授权访问该信息的行为者披露信息。信息泄露是最为常见和普遍的漏洞之一,漏洞出现的位置、造成的危害有很大的差异性,以下列出的是Acunetix在扫描时列为范围内的漏洞,同一漏洞评级差距极大。
Jayway
2019-09-29
2.8K
0
跨站请求伪造(CSRF)挖掘技巧及实战案例全汇总
安全
https
网络安全
html
网站
Cross-Site Request Forgery跨站请求伪造漏洞,简称CSRF或XSRF,强制最终用户在当前对其进行身份验证的Web应用程序上执行不需要的操作,浏览器的安全策略是允许当前页面发送到任何地址的请求,所以用户在浏览无法控制的资源时,攻击者可以控制页面的内容来控制浏览器发送它精心构造的请求。
Jayway
2019-09-29
7.8K
0
条件竞争(Race condition)漏洞挖掘技巧及实战案例全汇总
编程算法
数据库
sql
网络安全
安全
条件竞争漏洞(Race condition)官方概念是“发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景中。” 这个漏洞存在于操作系统、数据库、web等多个层面,像有名的脏牛(dirty cow)。
Jayway
2019-09-29
13.3K
1
Web缓存欺骗/中毒(Deception/Poisoning)漏洞挖掘及实战案例全汇总
缓存
网站
网络安全
安全
负载均衡
当下很多web系统使用web缓存功能来存储一些经常检索的文件,以减少Web服务器响应的延迟和减轻服务器上的负载。常见的缓存内容往往是静态或公共文件:样式表(css),脚本(js),文本文件(txt),图像(png,bmp,gif)等。
Jayway
2019-09-29
6.4K
0
账户接管(Account Takeover)漏洞挖掘及实战案例全汇总
网络安全
安全
访问管理
身份验证(Authentication):验证某人是特定用户,是否正确提供其安全凭据(密码,安全问题答案,指纹扫描等)。
Jayway
2019-09-29
4.6K
0
点击劫持(ClickJacking)漏洞挖掘及实战案例全汇总
安全
网络安全
html
点击劫持(Click Jacking)是一种视觉上的欺骗手段,攻击者通过使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,通过调整iframe页面的位置,可以使得伪造的页面恰好和iframe里受害页面里一些功能重合(按钮),以达到窃取用户信息或者劫持用户操作的目的。
Jayway
2019-09-29
8.6K
0
越权漏洞(e.g. IDOR)挖掘技巧及实战案例全汇总
安全
网络安全
ide
php
Insecure Direct Object reference (IDOR)不安全的直接对象引用,基于用户提供的输入对象直接访问,而未进行鉴权,这个漏洞在国内被称作越权漏洞。
Jayway
2019-09-29
5K
0
浏览器解析与编码顺序及xss挖掘绕过全汇总
javascript
html
网络安全
php
在以往的培训和渗透过程中,发现很多渗透人员尤其是初学者在挖掘xss漏洞时,很容易混淆浏览器解析顺序和解码顺序,对于html和js编码、解码和浏览器解析顺序、哪些元素可以解码、是否可以借助编码绕过等情况也基本处于混沌的状态,导致最终只能扔一堆payload上去碰碰运气。这篇文章就把浏览器解析顺序、编码解码的类型、各种解码的有效作用域以及在xss里的实战利用技巧做一个系统总结,让你深度掌握xss挖掘和绕过。
Jayway
2019-09-29
5.1K
0
XML外部实体(XXE)注入原理解析及实战案例全汇总
安全
网络安全
xml
XML全称“可扩展标记语言”(extensible markup language),XML是一种用于存储和传输数据的语言。与HTML一样,XML使用标签和数据的树状结构。但不同的是,XML不使用预定义标记,因此可以为标记指定描述数据的名称。由于json的出现,xml的受欢迎程度大大下降。
Jayway
2019-09-29
15.4K
0
点击加载更多
社区活动
【纪录片】中国数据库前世今生
穿越半个世纪,探寻中国数据库50年的发展历程
立即查看
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档