x

扫码登录

登录二维码

你尚未登录

未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。 加入『代码审计』知识星球即可查看所有内容。

phith0n

2020 八月 31
@波波树: 请问判断是否遭到中间人攻击,如何防御

普通用户的话,一般来说就是,检查下自己的dns配置,traceroute...

phith0n

2020 八月 31

以前好像有个人...

phith0n

2020 八月 27
@路人甲: p师傅,最近在刚学java安全就遇到了让我懵逼的问题😓,我是从apache commons collections 的反序列化漏洞开始学的,我看大家分析的时候用的都是jdk 1.8,commons collections 3.2.1的版本分析的,我也是在官网下载的3.2.1的源码,本机上也是jdk1.8的环境,但是在用ide 运行poc.java的时候缺出现了java: org.apache.commons.collections.map.MultiKeyMap中的remove(java.lang.Object,java.lang.Object)无法实现java.util.Map中的remove(java.lang.Object,java.lang.Object)
返回类型java.lang.Object与boolean不兼容 的问题,我有点懵,java.util.Map是java自带的类,commons的代码我直接下载下来没有更改,我在powershell上运行poc是可以的,问题出在commons包上了,但是我不知道该怎么搞

建议阅读我们星球里的《Java安全漫谈》系列文章,POC使用ysoserial的代码。

。。。...

图片


phith0n

2020 八月 27
@路人甲: 提问一下p牛,您说一个好黑客需要自己制造trick,那该如何更好的'制造' trick呢,向您请教一些思路

可以做的事情有...

哈!

2020 八月 26

请问各位师傅, ...

phith0n

2020 八月 25
@路人甲: p神好,最近最近学了一下代码审计,cms中一些简单的代码逻辑能看懂,一遇到稍微复杂的就感觉有点懵,尤其是在审计有框架的cms的时候更是吃力,想问一下应该怎么办,以及一些后续的学习路线。

审计框架与框架开发的项目,我可能比较有发言权。

说下我的案例。我是在大三的时候参加了大学生创业的项...

phith0n

2020 八月 25
@刚刚好先生: 最近遇到如下ctf题。我的思考:本题利用了php反序列化漏,对象消失后自动执行魔法方法__destruct()的特性。
构造了如下代码,但是还有两个问题:1. 题中!(is_string($a))部分不会绕过,2. $num的作用?
<?php
class Pass
{
function read()
{
ob_start();
global $result;
print $result;
}
}
class User
{
public $age= new Pass();
public $sex= "read";
public $num= "知识盲区";
}
echo serialize(new User);
?>

没看懂你想问什...

图片


phith0n

2020 八月 25

求你们了,别误导小白,原作者...

图片


phith0n

2020 八月 24
@,..: p神好,想请教一下信息安全工具开发的路线或者一些经验。我有写过一些小工具(编码转换,目录扫描这些)。但是感觉能力得不到提高,请问一下如何提高自己的水平。比如阅读github开源的工具的源代码。感觉网上关于安全开发的资料很少,也没有具体的学习路线。具体应该往哪个方向发展,Java爬虫?还是python的scrapy?具体应该学习什么技术比较好。谢谢。

阅读开源工具的源代码,这个可以啊。

Java爬虫就算了,很少人用Java写爬虫,如果是...

phith0n

2020 八月 24

今天加入了一些新朋友,应该基本都是从公众号来的,因为公众号发...