07 2023 档案
摘要:# ctfshow-SSRF #### web351 flag在flag.php下,直接访问没有权限 使用curl_exec访问才有权限 > url = http://127.0.0.1/flag.php #### web352 开始上过滤了 使用`0.0.0.0`访问本机上的服务 > url =
阅读全文
摘要:## jwt介绍 对json格式的信息采取的一种编码 JWT:Json web token 由两个点分隔成三个部分,分别为: - Header - Payload - Signature: 如果在Header部分声明的签名算法为HS256,以及服务器约定使用的密钥为secret 那么签名使用的算法一
阅读全文
摘要:# Java反序列化(0):URLDNS的反序列化调试分析 URLDNS链子是Java反序列化分析的第0课,网上也有很多优质的分析文章。 笔者作为Java安全初学者,也从0到1调试了一遍,现在给出调试笔记。 ## 一. Java反序列化前置知识 > Java原生链序列化:利用Java.io.Obje
阅读全文
摘要:## Java代理 代理模式:提高真实对象的封装性、拓展性,采用代理对象来代替对真实对象的访问,在不修改原目标对象的基础上,进行额外的功能操作。 **Java代理分为静态代理和动态代理** 重点关注一下基于反射的动态代理,此部分为Java安全中的常见机制 ## 静态代理 直接上代码比较好说明 首先我
阅读全文
