腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
黑伞安全
Umbrella枇杷哥
专栏作者
举报
76
文章
162662
阅读量
106
订阅数
订阅专栏
申请加入专栏
全部文章(76)
网络安全(31)
http(24)
安全(21)
https(20)
网站(17)
github(11)
php(10)
shell(10)
python(8)
tcp/ip(8)
java(7)
编程算法(7)
git(6)
html(5)
api(5)
开源(5)
windows(5)
linux(4)
文件存储(4)
黑客(4)
ssh(4)
数据库(3)
sql(3)
tomcat(3)
缓存(3)
dns(3)
javascript(2)
actionscript(2)
xml(2)
云数据库 SQL Server(2)
打包(2)
apache(2)
spring(2)
命令行工具(2)
企业(2)
正则表达式(2)
ftp(2)
c++(1)
go(1)
servlet(1)
jsp(1)
vbscript(1)
node.js(1)
css(1)
jquery(1)
json(1)
云数据库 Redis(1)
postgresql(1)
access(1)
django(1)
ide(1)
vba(1)
struts(1)
windows server(1)
容器镜像服务(1)
laravel(1)
云函数(1)
检测工具(1)
腾讯云测试服务(1)
图像处理(1)
DevOps 解决方案(1)
express(1)
serverless(1)
存储(1)
自动化(1)
爬虫(1)
jdk(1)
gui(1)
sql server(1)
面向对象编程(1)
opencv(1)
asp(1)
selenium(1)
rpc(1)
udp(1)
zabbix(1)
socket编程(1)
uml(1)
powershell(1)
数据分析(1)
安全漏洞(1)
数据结构(1)
虚拟化(1)
网站渗透测试(1)
ipv6(1)
漏洞扫描服务(1)
base64(1)
client(1)
com(1)
cs(1)
ip(1)
matrix(1)
path(1)
txt(1)
url(1)
word(1)
搜索文章
搜索
搜索
关闭
Log4j2 RCE分析
apache
安全
网络安全
java
javascript
进入到error函数后首先会调用logIfEnabled,在该函数中首先会调用isEnabled判断是否要进行日志记录(具体细节后面会讲)。如果满足一定条件则调用logMessage进行下一步操作。
黑伞安全
2021-12-13
1.1K
0
Shiro RememberMe 漏洞检测的探索之路
安全
文件存储
tomcat
java
网络安全
Shiro 是 Apache 旗下的一个用于权限管理的开源框架,提供开箱即用的身份验证、授权、密码套件和会话管理等功能。该框架在 2016 年报出了一个著名的漏洞——Shiro-550,即 RememberMe 反序列化漏洞。4年过去了,该漏洞不但没有沉没在漏洞的洪流中,反而凭借其天然过 WAF 的特性从去年开始逐渐升温,恐将在今年的 HW 演练中成为后起之秀。面对这样一个炙手可热的漏洞,这篇文章我们就来讲下,我是如何从 0 到 1 的将该漏洞的自动化检测做到极致的。
黑伞安全
2021-07-16
2.8K
0
致远OA A8 HtmlOfficeServlet前台GetShell 分析
servlet
html
python
java
windows server
在web.xml下存在这么三个servlet,这三个servlet都是未授权的,其中我们重点关注下HtmlOfficeServlet
黑伞安全
2021-04-23
3.7K
0
杂谈Java内存Webshell的攻与防
检测工具
网站
https
shell
java
这篇文章主要以Tomcat为例子记录了一些关于Java内存Webshell利用与检测以及相关的思考。
黑伞安全
2021-01-04
1.6K
0
Sqlmap实现os-shell自定义shell,免杀打穿一把梭
shell
java
命令行工具
python
腾讯云测试服务
今天在公司划水时,无意间看到了一篇关于sqlmap os-shell功能的刨析文章。该文章详细描述了os-shell的具体流程,但是该作者最后在实现自定义shell时翻车了…
黑伞安全
2020-12-16
918
0
fastjson黑盒测试与白盒审计
java
文件存储
tomcat
json
jdk
fastjson-1.2.24 (fastjson接受的JSON可以通过@type字段来指定该JSON应当还原成何种类型的对象,在反序列化的时候方便操作) fastjson-1.248以下 (从而导致checkAutoType在检测是否为黑名单的时候绕了过去,因为上一步将com.sun.rowset.JdbcRowSetImpl放入了mapping中,checkAutoType中使用TypeUtils.getClassFromMapping(typeName)去获取class不为空,从而绕过了黑名单检测) fastjson-1.2.60以下 (在此版本以下,字符串中包含\x转义字符时可以造成dos漏洞)
黑伞安全
2020-09-18
1.8K
0
有趣的实战渗透案例分享
jsp
java
网络安全
最近在做项目时遇到了一些比较有意思的案例,此处特意写下来与大家分享一下。由于此目标在第一波测试时已经获取到服务器的权限,后来由于种种原因要进行二次测试。想再次使用之前的权限作为入口点时却发现权限已经丢失相关的子站点也都已经关闭,只好再次寻找突破点。描述不当之处还请大佬们指正。
黑伞安全
2019-10-16
1.1K
0
没有更多了
社区活动
腾讯技术创作狂欢月
“码”上创作 21 天,分 10000 元奖品池!
立即发文
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档