最新发布第6页
原来 FastJSON 是个“延时炸弹”💣-极客星球

原来 FastJSON 是个“延时炸弹”💣

💥 为什么 FastJSON 漏洞不是在 parse() 阶段触发,而是在 toString() 等方法中爆发? 在渗透测试中,FastJSON 的反序列化漏洞是一个“老面孔”了。但很多新手刚开始接触时,会有一个疑惑: “...
避坑指南 | Windows Docker 安装+常见问题全解,稳定运行不是梦!🛠️-极客星球

避坑指南 | Windows Docker 安装+常见问题全解,稳定运行不是梦!🛠️

🪟 Windows 系统 Docker 部署与故障排查指南 💡 前言 ​ 如果你正在用 Windows 10 /11,搭建一个高效稳定的 Docker 环境,但是遇到了各种“玄学”报错,这份指南都会带你从零开始,一步步搞定所...
FastJSON 反序列化到底干了啥?一文看懂它是如何利用反射机制的!-极客星球

FastJSON 反序列化到底干了啥?一文看懂它是如何利用反射机制的!

🔍 剖析FastJSON 反序列化是如何利用的反射机制 📌 一、反序列化是什么? 反序列化(Deserialization):将字符串形式的数据(如 JSON)转成 Java 对象的过程。 举个例子,有一个 Java 类:  p...
别再只测 1+1!SpEL 注入黑盒实战还有这些高阶姿势-极客星球

别再只测 1+1!SpEL 注入黑盒实战还有这些高阶姿势

🔍 SpEL 黑盒探测不止靠 1+1,还可以这样搞! 提到 SpEL 注入,很多人黑盒测试的第一反应就是试试 1+1 看看会不会变成 2。但真正在实战中,SpEL 的“藏身之处”远不止那么简单!它可能伪装在表...
雷电模拟器抓包环境包-极客星球

雷电模拟器抓包环境包

一、部署了Burp证书内置了BurpSuite证书,可直接代理到BurpSuite抓包二、小黄鸟和ProxyPin小黄鸟和ProxyPin软件都已布置了根证书,可直接使用,无需再布置三、抓包实例
别让广播出卖你!Android BroadcastReceiver 漏洞排查全流程详解-极客星球

别让广播出卖你!Android BroadcastReceiver 漏洞排查全流程详解

🚨Android BroadcastReceiver 漏洞排查全流程指南 🔐 面向 Android 安全新手,从 0 到 1 手把手教你排查 BroadcastReceiver 的安全风险! ✅ 什么是 BroadcastReceiver? BroadcastReceiver(广...
Android 广播劫持完全解析:一招看穿你的 App 有没有被“广播间谍”监听!-极客星球

Android 广播劫持完全解析:一招看穿你的 App 有没有被“广播间谍”监听!

🚨Android 广播劫持完全解析:一招看穿你的 App 有没有被“广播间谍”监听! 本文为你讲清楚:什么是广播劫持、哪些写法容易出问题、攻击者是如何“插队”成功的、开发者如何防止广播泄露和被操...
SpEL 注入全网最通俗解释!看完源码审计轻松拿下!-极客星球

SpEL 注入全网最通俗解释!看完源码审计轻松拿下!

🌱 什么是 SpEL 注入? SpEL 全称是 Spring Expression Language(Spring 表达式语言),是 Spring 框架中的一种表达式语法,用来在 Java 代码或配置中动态计算值。 SpEL 注入就是攻击者通过构...