安全文章 第4页
网络安全、渗透测试相关文章
FastJSON + MQ 实现反序列化漏洞攻击链-极客星球

FastJSON + MQ 实现反序列化漏洞攻击链

🚨 利用 FastJSON + MQ 实现反序列化漏洞攻击链 在现代微服务架构中,消息中间件(如 Kafka、RocketMQ、RabbitMQ)被广泛用于服务解耦与异步通信。然而,这也带来了新的攻击面,尤其是当与 Fast...
FastJSON 反序列化到底干了啥?一文看懂它是如何利用反射机制的!-极客星球

FastJSON 反序列化到底干了啥?一文看懂它是如何利用反射机制的!

🔍 剖析FastJSON 反序列化是如何利用的反射机制 📌 一、反序列化是什么? 反序列化(Deserialization):将字符串形式的数据(如 JSON)转成 Java 对象的过程。 举个例子,有一个 Java 类:  p...
一文吃透 Java SSRF:原理 + 审计 + 绕过 + 防御-极客星球

一文吃透 Java SSRF:原理 + 审计 + 绕过 + 防御

🛡️ Java SSRF 源码审计全解 🚩 什么是 SSRF? SSRF(Server-Side Request Forgery,服务器端请求伪造),攻击者通过控制服务端发送请求目标,从而访问本应服务器内部可见的资源。 📌 审计原则...
别再只测 1+1!SpEL 注入黑盒实战还有这些高阶姿势-极客星球

别再只测 1+1!SpEL 注入黑盒实战还有这些高阶姿势

🔍 SpEL 黑盒探测不止靠 1+1,还可以这样搞! 提到 SpEL 注入,很多人黑盒测试的第一反应就是试试 1+1 看看会不会变成 2。但真正在实战中,SpEL 的“藏身之处”远不止那么简单!它可能伪装在表...
一句话解释什么是Redis 未授权访问-极客星球

一句话解释什么是Redis 未授权访问

🧠 一句话解释什么是“Redis 未授权访问”? Redis 未授权访问漏洞指的是: Redis 服务没设置密码(或防护配置),任何人都能连上它,执行任何命令,就像你的冰箱门没关,谁都能进去拿东西,甚...
Android 快速审计导出 Service 流程指南-极客星球

Android 快速审计导出 Service 流程指南

🧠 新手必读总结:如何快速审计导出 Service? 🔍 第一步:用 jadx 打开 APK,搜索: 搜索关键词用途android:exported='true'配置文件查看是否允许导出exec( 或 Runtime.getRuntime()查找命令执...
一文看懂 JSON.parse 背后的安全隐患与黑盒利用方法-极客星球

一文看懂 JSON.parse 背后的安全隐患与黑盒利用方法

一文看懂 JSON.parse 背后的安全隐患与黑盒利用方法 🔍 一段简单的 JSON 解析代码,可能是一次严重的原型污染、提权绕过、服务瘫痪的开始。本文深入解析 JSON.parse() 的安全风险、攻击方式,并...
ContentProvider 数据泄露全面解析:小白也能看懂的安全检测指南-极客星球

ContentProvider 数据泄露全面解析:小白也能看懂的安全检测指南

🧩 ContentProvider 数据泄露全面解析:小白也能看懂的安全检测指南 随着 Android 应用越来越复杂,ContentProvider 成为了应用间共享数据的重要桥梁。但如果配置不当,极易成为攻击入口,导致...