Java反序列化漏洞简介 Java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,Java中的ObjectOutputStream类的writeObject()方法可以实现序列化。 Java反序列化即逆过程,由字节流还原成对象。ObjectInputStream类的readObject()方法用于反...
0x00 漏洞综述- vBulletin 是一个强大,灵活并可完全根据自己的需要定制的论坛程序套件。它使用目前发展速度最快的 Web 脚本语言php编写,并且基于以高效和疾速著称的数据库引擎 MySQL。并且是世界上用户非常广泛的PHP论坛 。 vBulletin在其ajax接口使用了反序列化函数unserial...
背景介绍登陆用户账号安全案例中,目前来看有这么几种方式,1,利用账号密码,2,利用cookie,3,利用认证票据。而在漏洞案例中,账号密码方式准确性不足,cookie方式中遇到带httponly属性则会产生屏障,利用认证票据则会让人眼前一亮。 账号认证体系中,目前需要跨域认证访问的网站中,常用一些关键字段作为票据...
0x00 漏洞信息http://www.wooyun.org/bugs/wooyun-2015-0127787 0x01 漏洞成因概述由于dedecms使用伪全局变量原因,可导致用户构造任意的sql语句,造成注入。 漏洞利用流程: 利用_FILE传递数组 绕过dedecms的sql注入检测机制 进行注入 0x...
验证码识别涉及很多方面的内容。入手难度大,但是入手后,可拓展性又非常广泛,可玩性极强,成就感也很足。 验证码识别涉及技术验证码图像处理验证码图像识别技术主要是操作图片内的像素点,通过对图片的像素点进行一系列的操作,最后输出验证码图像内的每个字符的文本矩阵。 读取图片 图片降噪 图片切割 图像文本输出 字符识别...