Java反序列化漏洞总结

前言 什么是序列化和反序列化 Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。反序列化就是通过序列化后的字段还原成这个对象本身。但标识不被序列化的字段是不会被还原的。 序列化有什么用 1)网站 ... »

正则表达式优化总结

什么是正在表达式 正则表达式(regular expression)描述了一种字符串匹配的模式(pattern),可以用来检查一个串是否含有某种子串、将匹配的子串替换或者从某个串中取出符合某个条件的子串等。 正则表达式快速入门可参考:https://www.w3cschool.cn/regex_rm ... »

机器学习笔记(持续更新)

分类回归的区别 https://www.zhihu.com/question/21329754/answer/18004852 什么是数值型和标称型 标称型: 一般在有限的数据中取,而且只存在‘是’和‘否’两种不同的结果(一般用于分类) 数值型: 可以在无限的数据中取,而且数值比较具体化,例如4.0 ... »

机器学习笔记(持续更新)

分类回归的区别 "https://www.zhihu.com/question/21329754/answer/18004852" 什么是数值型和标称型 标称型: 一般在有限的数据中取,而且只存在‘是’和‘否’两种不同的结果(一般用于分类) 数值型: 可以在无限的数据中取,而且数值比较具体化,例如4 ... »

ThinkPHP5 远程命令执行漏洞分析

本文首发自安全脉搏,转载请注明出处。 前言 ThinkPHP官方最近修复了一个严重的远程代码执行漏洞。这个主要漏洞原因是由于框架对控制器名没有进行足够的校验导致在没有开启强制路由的情况下可以构造恶意语句执行远程命令,受影响的版本包括5.0和5.1版本。 测试环境: ThinkPHP 5.1 beta ... »

安全之红蓝对抗简介

什么是红蓝对抗 在军事领域,演习是专指军队进行大规模的实兵演习,演习中通常分为红军、蓝军,演习多以红军守、蓝军进攻为主。类似于军事领域的红蓝军对抗,网络安全中,红蓝军对抗则是一方扮演黑客(蓝军),一方扮演防御者(红军)。在国外的话,进行渗透攻击的团队经常称做红队,在国内称为蓝队实际上应该是比较准确的 ... »

密码学基础下篇

本文首发自虫洞社区,转载请注明出处。 秘钥管理 秘钥长度与安全性 所谓安全密码,不是说不能被破解出来,而是说不能在安全期限的时间内破解出来或者破解出来的所需代价远大于得到的破解结果。下面以秘钥强度112位的3DES破解为例计算所需的代价:1百亿亿次/秒需要100w台100年才能破解出。新一代超级计算 ... »

密码学基础上篇

本文首发自虫洞社区,转载请注明出处。 密码学概念 密码学是对信息进行编码实现隐蔽信息的一门科学,采用密码技术可以隐藏和保护需要保密的信息,使未经授权者不能提取信息。需要隐藏的消息称为“明文”;明文被变换成的另一种隐蔽的形式就是“密文”。这种变换称为“加密”;加密的逆过程,即从密文恢复出对应的明文的过 ... »

一文读懂以太坊代币合约

本文首发自 https://www.secpulse.com/archives/73696.html ,转载请注明出处。 工欲善其事,必先利其器。要想挖掘和分析智能合约的漏洞,你必须要先学会看懂智能合约。而目前智能合约中有很大一部分是发行代币的,那什么是代币,他们有什么标准呢?本文就是带领你入门,教 ... »

流包装器实现WebShell免杀

前言 本文是看 http://www.freebuf.com/articles/web/176571.html 有感,权当做个笔记。 很早的以前,我们就见过 php://input,这其实就是流包装器的一种。php://input 是个可以访问请求原始数据的只读流。下面这行代码就是通过php://i ... »

三方依赖库扫描系统

简介 Dependency-Check 是一款分析软件构成的工具,他会检测项目中依赖项的公开披露漏洞。Dependency-Check 常用于扫描java和.NET程序,实验性的分析器有python、ruby、php以及nodejs,这些作为实验性研究是因为他们的高误报率。如果你公司主要使用c,ja ... »

webshell检测方法归纳

背景 webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境, ... »