最近看到一些师傅在做一个CTF的时候找到了Hessian的JDK原生反序列化的利用链,简单了解Hessian的 …
分类存档:信息安全
.Net ViewState反序列化实现无文件哥斯拉内存马
基础 前言 常规ViewState的反序列化利用方式为找到网站路径后,通过echo等方式写入aspx\ashx …
CVE-2022-22947 注入哥斯拉内存马
前言 CVE-2022-22947是Spring Cloud Gateway的一个SpEL命令注入漏洞,前一阵 …
BurpCrypto未来开发计划
不知不觉中BurpCrypto从诞生到现在已经一岁半了,在这段时间里我对插件的基础功能进行了持续的Bug修复与 …
复杂加密接口的一种SQL注入测试方法
今天遇到一个存在SQL注入漏洞的系统。
对一个使用JWT验证的系统渗透纪实
某次,对某客户的系统进行渗透测试,上头的命令是必须拿下网站系统管理员用户的权限,经过分析后发现该系统使用Spr …
BurpCrypto: 对单加密参数的登录接口进行密码爆破的一种方法
在各种渗透测试的密码爆破的攻势下,有部分应用系统开发者开始另辟蹊径,将用户名密码加密至一个单参数的base64 …
BurpCrypto: 万能网站密码爆破测试工具
完整使用说明现已更新至项目Github页面: https://github.com/whwlsfb/BurpC …