摘要:
XXE漏洞产生原因 XXE漏洞:XML外部实体注入漏洞;应用程序解析XML输入时,没有对上传的XML文件内容进行过滤,没有禁止外部实体的加载,导致可以加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、DOS攻击等。 XXE与HTML XML是可扩展标记语言、重点在传输数据和存储数据,HTML是 阅读全文
摘要:
序列化与反序列化 序列化:把一个对象类型的数据转换成字符串(字节流)进行传输,把某个对象系列化成JSON格式或XML格式或者其他序列化格式的字符串过程称为序列化。 反序列化:将字节流或字符串转换为原始的数据结构或对象。 shiro反序列化 shiro-550:shiro < 1.2.5 主要是因为r 阅读全文
摘要:
webshell变迁 web服务器管理页面——>大马——>小马拉大马——>一句话木马——>加密一句话木马——>加密内存马 内存马 内存马:无文件马,是无文件攻击的一种常见手段。 无文件攻击:可以有效的躲避传统安全软件的检测,它们可以在系统的内存中远程加载执行,驻留在注册表中或滥用常用的白名单工具。无 阅读全文