摘要:
报错注入是利用mysql在出错的时候会引出查询信息的特征。常见的布尔盲注场景有两种,一是返回值只有True或False的类型,二是Order by盲注。如果查询结果不为空,则返回True(或者是Success之类的),否则返回False。 阅读全文
posted @ 2022-08-09 17:27
蚁景网安实验室
阅读(410)
评论(0)
推荐(0)
摘要:
前不久研究websocket时,发现port-swigger出了新的靶场,一看是关于jwt安全的,刚好来总结回忆一下。 阅读全文
posted @ 2022-08-08 23:48
蚁景网安实验室
阅读(344)
评论(0)
推荐(0)
摘要:
最近很多家厂商都陆续开放了自己的Webshell检测引擎,并且公开接口,邀请众安全研究员参加尝试bypass检测引擎,并且给予奖励,我也参加了几场类似的活动... 阅读全文
posted @ 2022-08-05 14:17
蚁景网安实验室
阅读(194)
评论(0)
推荐(0)
摘要:
WEB缓存就是指网站的静态文件,比如图片、CSS、JS等,在网站访问的时候,服务器会将这些文件缓存起来,以便下次访问时直接从缓存中读取,不需要再次请求服务器。 阅读全文
posted @ 2022-08-04 14:12
蚁景网安实验室
阅读(133)
评论(0)
推荐(0)
摘要:
红队在HVV中一般使用钓鱼实现突破边界,蓝队通过钓鱼实现溯源反制,但是都离不开一个好的免杀马,这里分享一下自己的免杀过程,过火绒、360杀毒、windows defender以及赛门铁克等主流杀软都没问题。 阅读全文
posted @ 2022-08-02 16:19
蚁景网安实验室
阅读(1364)
评论(0)
推荐(0)
摘要:
最近搞SSTI,发现有的开发开了debug,由此想到了PIN,但一直没有对这个点做一个深入剖析,今天就完整的整理Flask Debug PIN码的生成原理与安全问题。 阅读全文
posted @ 2022-08-01 17:21
蚁景网安实验室
阅读(315)
评论(0)
推荐(0)
摘要:
现在的CTF比赛中很难在大型比赛中看到栈溢出类型的赛题,而即使遇到了也是多种利用方式组合出现,尤其以栈迁移配合其他利用方式来达到组合拳的效果,本篇文章意旨通过原理+例题的形式带领读者一步步理解栈迁移的原理以及在ctf中的应用。 阅读全文
posted @ 2022-07-27 17:57
蚁景网安实验室
阅读(255)
评论(0)
推荐(0)
摘要:
Spark 是用于大规模数据处理的统一分析引擎。它提供了 Scala、Java、Python 和 R 中的高级 API,以及支持用于数据分析的通用计算图的优化引擎。它还支持一组丰富的高级工具,包括用于 SQL 和 DataFrames 的 Spark SQL、用于 Pandas 工作负载的 Spark 上的 Pandas API、用于机器学习的 MLlib、用于图形处理的 GraphX 和用于流处理的结构化流。 阅读全文
posted @ 2022-07-25 17:49
蚁景网安实验室
阅读(459)
评论(0)
推荐(0)
摘要:
Fastjson 代码执行漏洞,该漏洞允许攻击者绕过 Fastjson 中的“AutoTypeCheck”机制并实现远程代码执行。整个漏洞的分析花了很多时间,来来回回加断点调试了很久,对这个漏洞做一个自己的总结... 阅读全文
posted @ 2022-07-21 16:05
蚁景网安实验室
阅读(808)
评论(0)
推荐(0)
摘要:
在CTF比赛中,我们所能接触到的大部分都是x86、x86_64架构的题目,而在我开始接触IOT方向的研究以后发现智能设备所用到的则是ARM和MIPS架构为主。本篇文章在介绍前置知识的基础上通过CTF的ARM架构类型题带读者更好的入门ARM PWN的世界。 阅读全文
posted @ 2022-07-19 17:50
蚁景网安实验室
阅读(400)
评论(0)
推荐(0)
浙公网安备 33010602011771号