Jayway

腾讯云

备案控制台

开发者社区

TVP

文章/答案/技术大牛

写文章

LV0

发表了文章 2022-11-242022-11-24 15:01:06

【安全攻防】安全告警分析处置与模型开发思考

在企业安全运营中，安全运营中心（SOC）部署了各种安全设备，收集到了海量安全数据，并针对这些数据开发出各种检测模型，但随之而来的问题就是：

Jayway 2022-11-242022-11-24 15:01:06

安全，网络安全，bash，bash 指令，tcp/ip

发表了文章 2022-08-302022-08-30 12:12:19

从漏洞挖掘角度分析fastjson1.2.80 Bypass

Fastjson中parse方法或者parseObject可以将JSON串转化成Java对象，json数据外部可控的情况下可能出现fastjson反序列化漏...

Jayway 2022-08-302022-08-30 12:12:19

文件存储，网络安全，安全，java，编程算法

发表了文章 2022-04-192022-04-19 09:32:43

Spring Core-RCE深入分析及步步调试出payload

既然Spring最新0day漏洞是绕过CVE-2010-1622的修复方式后产生的，那就从这个古老漏洞的本质：参数绑定入手，搭建环境进行调试。

Jayway 2022-04-192022-04-19 09:32:43

编程算法，安全，http，tomcat，android

发表了文章 2020-07-152020-07-15 15:32:36

Hook框架Frida之安装踩坑日记

一、概述 Frida，官网介绍：Dynamic instrumentation toolkit for developers, reverse-engine...

Jayway 2020-07-152020-07-15 15:32:36

python，android，windows，https

发表了文章 2020-07-132020-07-13 11:08:56

CVE-2020-5902——关于;号绕过认证技巧总结

借BIG IPCVE-2020-5902 漏洞的payload说一下前端认证绕过，注意这里用到的;分号，是不是在很多认证绕过的payload里都见过。

Jayway 2020-07-132020-07-13 11:08:56

php，tomcat，servlet，http，java

发表了文章 2020-07-012020-07-01 16:22:37

[CVE-2020-1948] Apache Dubbo Provider反序列化漏洞复现及分析

Apache Dubbo是一款高性能、轻量级的开源Java RPC框架，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现...

Jayway 2020-07-012020-07-01 16:22:37

https，文件存储，html，dubbo，github

发表了文章 2020-06-032020-06-03 15:56:06

jQuery最新xss漏洞分析——CVE-2020-11022/11023

jQuery官方上周发布了最新版本3.5.0，主要修复了两个安全问题，官方博客为：

Jayway 2020-06-032020-06-03 15:56:06

jquery，安全，网络安全，html，正则表达式

发表了文章 2020-06-022020-06-02 17:02:40

Python安全之反序列化——pickle/cPickle

Python中有两个模块可以实现对象的序列化，pickle和cPickle，区别在于cPickle是用C语言实现的，pickle是用纯python语言实现的，用...

Jayway 2020-06-022020-06-02 17:02:40

文件存储，编程算法，网络安全，安全，python

发表了文章 2020-06-022020-06-02 17:02:20

Python安全之SSTI——Flask/Jinja2

SSTI（Server Side Template Injection），又称服务端模板注入攻击。其发生在MVC框架中的view层，常见的用于渲染的模板有Twi...

Jayway 2020-06-022020-06-02 17:02:20

http，网络安全，安全，python

发表了文章 2020-05-092020-05-09 14:52:23

CTF系列——DASCTF四月春季赛Writeup

很久没正式打CTF，周末抽空参加了下安恒四月赛的DASCTF，个别题目质量还是蛮高的，这里把做出来的和赛后补充的做个记录。

Jayway 2020-05-092020-05-09 14:52:23

文件存储，编程算法，https，费用中心，html

发表了文章 2020-05-072020-05-07 15:12:23

从Kryo反序列化到Marshalsec框架到CVE挖掘

Kryo 是一个快速序列化/反序列化工具，其使用了字节码生成机制。Kryo 序列化出来的结果，是其自定义的、独有的一种格式，不再是 JSON 或者其他现有的通用...

Jayway 2020-05-072020-05-07 15:12:23

文件存储，安全，https，json，spring

发表了文章 2020-03-162020-03-16 18:33:51

IDEA动态调试(二)——反序列化漏洞(Fastjson)

成因：在把其他格式的数据反序列化成java类的过程中，由于输入可控，导致可以执行其他恶意命令，但追根究底是需要被反序列化的类中重写了readObject方法...

Jayway 2020-03-162020-03-16 18:33:51

文件存储，网络安全，安全，java，json

发表了文章 2020-03-122020-03-12 18:29:19

IDEA动态调试(三)——反序列化漏洞(xml+Yaml)

大多数 java 项目用来处理数据基本上都是xml 和 json 两种格式，上篇讲了fastjson的反序列化，另一个json处理库jackson的漏洞原理...

Jayway 2020-03-122020-03-12 18:29:19

文件存储，xml，json，java，html

发表了文章 2020-03-122020-03-12 18:28:18

IDEA动态调试(一)——OGNL表达式注入(S2-001)

首先在IDEA中搭建调试环境，File-New-Java Enterprise，选择Web Application：

Jayway 2020-03-122020-03-12 18:28:18

struts，网站，网络安全，安全，jsp

发表了文章 2020-02-262020-02-26 13:33:36

Python代码审计汇总

其中subprocess较为常见，防御办法需保证shell=True未设置转义变量：Python 2.x使用pipes.quote()，Python 3.3或...

Jayway 2020-02-262020-02-26 13:33:36

python，文件存储，安全，sql

发表了文章 2019-11-122019-11-12 22:07:51

Java代码审计汇总系列(四)——反序列化

不安全的反序列化（Insecure Deserializations）在最新的OWASP Top 10列表中列于A8。这个漏洞的本质和其他漏洞其实基本相同，是在...

Jayway 2019-11-122019-11-12 22:07:51

文件存储，安全，java，jdk，json

发表了文章 2019-11-122019-11-12 21:35:10

Java代码审计汇总系列(二)——XXE注入

OWASP Top 10中的另一个注入漏洞是XML外部实体注入（XXE），它是在解析XML输入时产生的一种漏洞，漏洞原理和黑盒挖掘技巧见之前的文章：XML外部实...

Jayway 2019-11-122019-11-12 21:35:10

xml，网络安全，安全，java

发表了文章 2019-11-072019-11-07 11:12:34

Java代码审计汇总系列(一)——SQL注入

相比黑盒渗透的漏洞挖掘方式，代码审计具有更高的可靠性和针对性，更多的是依靠对代码、架构的理解；使用的审计工具一般选择Eclipse或IDEA；审计工作过程主要...

Jayway 2019-11-072019-11-07 11:12:34

sql，安全，mybatis，网络安全，java

订阅了专栏 2019-11-052019-11-05 11:57:00

腾讯云自媒体分享计划

3 文章5.3K 关注者

关注了用户 2019-11-052019-11-05 11:57:00

腾讯云自媒体分享计划
腾讯 · 产品运营 (已认证)

申请条件：至少有 10 篇或以上符合投稿要求可迁入腾讯云专栏的原创技术文章。

3 文章0 回答5.4K 关注者

12 3 下一页

个人简介

暂未填写公司和职称
暂未填写个人简介
暂未填写技能专长
暂未填写学校和专业
暂未填写个人网址
暂未填写所在城市

个人成就

影响力总排行第 2400 名
获得 108 次赞同
文章被阅读 155.8K 次

关注了：1关注者：68

Jayway

【安全攻防】安全告警分析处置与模型开发思考

从漏洞挖掘角度分析fastjson1.2.80 Bypass

Spring Core-RCE深入分析及步步调试出payload

Hook框架Frida之安装踩坑日记

CVE-2020-5902——关于;号绕过认证技巧总结

[CVE-2020-1948] Apache Dubbo Provider反序列化漏洞复现及分析

jQuery最新xss漏洞分析——CVE-2020-11022/11023

Python安全之反序列化——pickle/cPickle

Python安全之SSTI——Flask/Jinja2

CTF系列——DASCTF四月春季赛Writeup

从Kryo反序列化到Marshalsec框架到CVE挖掘

IDEA动态调试(二)——反序列化漏洞(Fastjson)

IDEA动态调试(三)——反序列化漏洞(xml+Yaml)

IDEA动态调试(一)——OGNL表达式注入(S2-001)

Python代码审计汇总

Java代码审计汇总系列(四)——反序列化

Java代码审计汇总系列(二)——XXE注入

Java代码审计汇总系列(一)——SQL注入

腾讯云自媒体分享计划

腾讯云自媒体分享计划
腾讯 · 产品运营 (已认证)

个人简介

个人成就

社区

活动

资源

关于

归档

腾讯云开发者

Jayway

【安全攻防】安全告警分析处置与模型开发思考

从漏洞挖掘角度分析fastjson1.2.80 Bypass

Spring Core-RCE深入分析及步步调试出payload

Hook框架Frida之安装踩坑日记

CVE-2020-5902——关于;号绕过认证技巧总结

[CVE-2020-1948] Apache Dubbo Provider反序列化漏洞复现及分析

jQuery最新xss漏洞分析——CVE-2020-11022/11023

Python安全之反序列化——pickle/cPickle

Python安全之SSTI——Flask/Jinja2

CTF系列——DASCTF四月春季赛Writeup

从Kryo反序列化到Marshalsec框架到CVE挖掘

IDEA动态调试(二)——反序列化漏洞(Fastjson)

IDEA动态调试(三)——反序列化漏洞(xml+Yaml)

IDEA动态调试(一)——OGNL表达式注入(S2-001)

Python代码审计汇总

Java代码审计汇总系列(四)——反序列化

Java代码审计汇总系列(二)——XXE注入

Java代码审计汇总系列(一)——SQL注入

腾讯云自媒体分享计划

腾讯云自媒体分享计划腾讯 · 产品运营 (已认证)

社区

活动

资源

关于

归档

腾讯云开发者

热门产品

热门推荐

更多推荐

腾讯云自媒体分享计划
腾讯 · 产品运营 (已认证)