优化图像,打开延迟加载,调整大小,压缩和提高您的Google页面速度,使用令人难以置信的强大且100%免费的WordPress图像扫描器,由WPMU DEV的超级团队带给您!文章源自知更鸟-https://zm
推荐阅读
推荐阅读
判断 WordPress 文章中有特定短代码时加载脚本
短代码是WordPress常用的功能,虽然目前已被区块所取代,但还是普遍应用中。有些短代码会用到JS脚本,但又不想全局加载,可以用下面的代码实现,添加短代码时仅在当前页面加载JS脚本
专题
(1)篇
WordPress 实用代码
WordPress 实用代码
专题
(0)篇
WordPress 插件
WordPress 插件
专题
(0)篇
Web前端
Web前端
专题
(0)篇
WordPress 常见问题
WordPress 常见问题
SpringBoot-Actuator-SnakeYAML-RCE漏洞深度分析
前言
近期搬砖过程中又遇到actuator组件开放的情况,且env端点发现存在SnakeYAML依赖,为判断能否通过此问题进一步深入到内部,尝试借用SnakeY
近期搬砖过程中又遇到actuator组件开放的情况,且env端点发现存在SnakeYAML依赖,为判断能否通过此问题进一步深入到内部,尝试借用SnakeY
Laravel反序列化漏洞学习及再挖掘
前言
做 web 类题目的时候发现 ctfshow 平台中 web 入门题目中有关于PHP 框架漏洞的题目,尝试自己挖掘链子,进一步学习在框架类中反序列化的链子
做 web 类题目的时候发现 ctfshow 平台中 web 入门题目中有关于PHP 框架漏洞的题目,尝试自己挖掘链子,进一步学习在框架类中反序列化的链子
Exchange漏洞分析(二):反序列化代码执行漏洞(CVE-2021–42321)
作者:雨夜
0x00前言
微软公布了一个反序列化代码执行漏洞,CVE-2021-42321,经过身份认证的攻击者可以通过EWS接口将payload写入UserC
0x00前言
微软公布了一个反序列化代码执行漏洞,CVE-2021-42321,经过身份认证的攻击者可以通过EWS接口将payload写入UserC
Laravel反序列化漏洞学习及再挖掘
前言
做 web 类题目的时候发现 ctfshow 平台中 web 入门题目中有关于PHP 框架漏洞的题目,尝试自己挖掘链子,进一步学习在框架类中反序列化的链子
做 web 类题目的时候发现 ctfshow 平台中 web 入门题目中有关于PHP 框架漏洞的题目,尝试自己挖掘链子,进一步学习在框架类中反序列化的链子
Exchange漏洞分析(二):反序列化代码执行漏洞(CVE-2021–42321)
作者:雨夜
0x00前言
微软公布了一个反序列化代码执行漏洞,CVE-2021-42321,经过身份认证的攻击者可以通过EWS接口将payload写入UserC
0x00前言
微软公布了一个反序列化代码执行漏洞,CVE-2021-42321,经过身份认证的攻击者可以通过EWS接口将payload写入UserC
Java安全之Dubbo反序列化漏洞分析
0x00 前言
最近天气冷,懒癌又犯了,加上各种项目使得本篇文断断续续。0x01 Dubbo概述
Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一
最近天气冷,懒癌又犯了,加上各种项目使得本篇文断断续续。0x01 Dubbo概述
Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一
.NET序列化学习之XmlSerializer
.NET XmlSerializer
结构化XML数据映射为.NET对象,XmlSerializer 类的程序中通过单个API 调用来执行XML文档和对象之间
结构化XML数据映射为.NET对象,XmlSerializer 类的程序中通过单个API 调用来执行XML文档和对象之间
一文回顾攻击Java RMI方式
前序
RMI存在着三个主体RMI Registry
RMI Client
RMI Server而对于这三个主体其实都可以攻击,当然了需要根据jdk版本以及环境寻
RMI存在着三个主体RMI Registry
RMI Client
RMI Server而对于这三个主体其实都可以攻击,当然了需要根据jdk版本以及环境寻
Dubbo-CVE-2020-1948
APache Dubbo简介
Dubbo是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。简单的说,dubbo就是
Dubbo是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。简单的说,dubbo就是
URLDNS Gadget分析
前言
URLDNS是ysoserial中比较简单的gadget,可以通过分析其利用链来了解反序列化执行java代码的过程。相较于其他gadget,URLDNS不
URLDNS是ysoserial中比较简单的gadget,可以通过分析其利用链来了解反序列化执行java代码的过程。相较于其他gadget,URLDNS不
初识Java反序列化
前言
研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。
大致内容如下:序列化和反序列化示例
研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。
大致内容如下:序列化和反序列化示例
Java安全攻防之从wsProxy到AbstractTranslet
本文主要是围绕在Java反序列化利用过程中,默认使用 ysoserial 带来的一些问题和局限性。通对代码的二次改造,最终能完成序列化数据的体积的减少和Webs
gRPC 介绍及 Go gRPC 入门教程
介绍gRPC 是开源的远程过程调用(RPC)框架,可在任何环境运行。使用 gRPC 可以有效地连接数据中心内和跨数据中心的服务,gRPC 具有可插拔的负载均衡、追踪、健康检查和身份验证支持。它也适用于
CVE-2017-7504 Jboss反序列化浅析
ZONE.CI 全球网:一、原理(一)概述
在JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILSer
在JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILSer
CVE-2021-35464 漏洞分析:ForgeRock OpenAM 中的预认证 RCE
ZONE.CI 全球网:0x00 前述
2021 年 6 月 29 日,安全研究员 Michael Stepankin 发布了CVE-2021-35464,这是 ForgeRock访问管理器身份和访问
2021 年 6 月 29 日,安全研究员 Michael Stepankin 发布了CVE-2021-35464,这是 ForgeRock访问管理器身份和访问
浅谈PHP原生类反序列化
ZONE.CI 全球网:引言
在CTF中反序列化类型的题目还是比较常见的,之前有学习过简单的反序列化,以及简单pop链的构造。这次学习内容为php内置的原生类的反序列化以及一点进阶知识。
在题目给的的
在CTF中反序列化类型的题目还是比较常见的,之前有学习过简单的反序列化,以及简单pop链的构造。这次学习内容为php内置的原生类的反序列化以及一点进阶知识。
在题目给的的
WebLogic CVE-2021-2135分析及POC构造遇到的问题
ZONE.CI 全球网:一、前言
早在今年4月 Weblogic发布了安全公告,里面有一个编号是CVE-2021-2135的反序列化漏洞,因为工作原因需要构造该漏洞POC,当时拿到了安全补丁,但是奈何
早在今年4月 Weblogic发布了安全公告,里面有一个编号是CVE-2021-2135的反序列化漏洞,因为工作原因需要构造该漏洞POC,当时拿到了安全补丁,但是奈何
梨子带你刷burpsuite靶场系列之高级漏洞篇 - 不安全的反序列化专题
ZONE.CI 全球网:本系列介绍
PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),
PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),
Weblogic CVE-2021-2394 反序列化漏洞分析
ZONE.CI 全球网:0x01 漏洞简介
根据漏洞作者描述,这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogi
根据漏洞作者描述,这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogi
浅谈 CTF-Web 中常见的 Python 题型与解题姿势
ZONE.CI 全球网:前言
打 CTF 已经有一段时间了,今天在就此总结一下 CTF-Web 中常见的 Python 题型与解题姿势。Flask Jinja2 SSTI
这一块没什么好说的了,网上关
打 CTF 已经有一段时间了,今天在就此总结一下 CTF-Web 中常见的 Python 题型与解题姿势。Flask Jinja2 SSTI
这一块没什么好说的了,网上关
说说JAVA反序列化
ZONE.CI 全球网:JAVA 是我国开发者广泛使用的开发语言,在金融行业使用尤为突出。实战中,利用 Java 反序列化实现远程命令执行的案例增长趋势明显,同时,WebLogic、 WebSpher
Java反序列化和集合之间的渊源
ZONE.CI 全球网:0x01 前言
从一开始接触Java序列化漏洞就经常看到以Java集合作为反序列化入口,但是也没有仔细思考过原因。分析的Gadget多了觉得很多东西有必要总结一下,所以有了本篇
从一开始接触Java序列化漏洞就经常看到以Java集合作为反序列化入口,但是也没有仔细思考过原因。分析的Gadget多了觉得很多东西有必要总结一下,所以有了本篇
忆——Weblogic CVE-2016-0638反序列化漏洞
ZONE.CI 全球网:开始着手对Weblogic历史漏洞进行剖析,周末分析了Weblogic历史上的严重漏洞,一次针对CVE-2015-4852漏洞的补丁绕过。原理虽然简单,但是时间太过久远,一些关
Java安全之ysoserial-URLDNS链分析
ZONE.CI 全球网:0x00 写在前面
Java提供了一种序列化的机制可以将一个Java对象进行序列化后,用一个字节序列表示,并在Java虚拟机之间或网络间传输,之后可通过readObject()
Java提供了一种序列化的机制可以将一个Java对象进行序列化后,用一个字节序列表示,并在Java虚拟机之间或网络间传输,之后可通过readObject()
PHP序列化冷知识
ZONE.CI 全球网:0x01 serialize(unserialize($x)) != $x
正常来说一个合法的反序列化字符串,在二次序列化也即反序列化再序列化之后所得到的结果是一致的。
比如
正常来说一个合法的反序列化字符串,在二次序列化也即反序列化再序列化之后所得到的结果是一致的。
比如