你尚未登录
未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。 加入『代码审计』知识星球即可查看所有内容。
@Castiel:前辈 你好 之前有看过你一片关于SQL宽字节注入的文章提到理论上只要低位范围中含有0x5c的编码就可以进行宽字节注入。最近审计一套使用euc-kr编码源码 查了下euc-kr低位范围是0xA1-0xFE 和GB2312一样 应该不能利用,但在源码中发现某处使用iconv从UTF-8到CP949的转换操作,不知此处是否存在利用机会?本人小白一枚对编码了解不是很深,还望前辈赐教!
看了下,CP949似乎没有\......
我发现知识星球回答提问的时候只能加一张图,而且说得也不够详细,我这里详细说一下你拿到一个新的Java项目,应该怎么调试。
还是以 GitHub - frohoff/ysoserial: A p......
图片
@不安分:ysoserial这个jar包该怎么调试,怎么向里面增加payload在从新打包?
首先拉取ysoserial的源码 GitHub - frohoff/ysoserial: A proof-of-concept tool for generating p......
图片
继续 #聊2018年最佳Web安全技术#
还记得我曾在圈子说过PHP的一个漏洞 CVE-2018-17082吗( https://t.zsxq.com/rZVjYRR )。当时作者发现在请求包......
继续 #聊2018年最佳Web安全技术#
上次我们说到,用户请求了 hxxp://10.2.122.1/profile.php/test.css , 用户实际访问的是profile.php页面......
各位大佬,我们最近学校要比赛,考的是......
继续 #聊2018年最佳Web安全技术#
上次我们说了缓存投毒攻击,其实有关缓存的漏洞,还有一个特别经典的攻击叫“缓存欺骗”(Web Cache Deception https://omerg......