JAVA安全网

2021-06-07 sevck 阅读(1136) 评论(0)

actuator未授权这个洞很久了，但是今天无意间被白帽子爆了一个，于是立即对此漏洞进行复盘排查，果然发现线上其他也有此类问题。 actuator 常规利用方式，读取env的password、获取httptrace，...

2021-03-18 sevck 阅读(2124) 评论(0)

背景 Brup Suite的爆破功能经常使用，但是很多网站，可能使用了AES，通过前端我们可以获取到key和iv偏移量。 获取到，但是遍历、爆破等等，Brup本身是不能够支持的，所以分享Burp_AES_Plugin...

2020-10-29 sevck 阅读(1248) 评论(0)

不多说，直接上封面，末尾附下载： 下载链接： java_marshalsec.pdf

2020-06-05 sevck 阅读(2954) 评论(0)

Spring生态比较好，使用Spring Boot的开发者也比较多，整理了一下Spring Boot相关的漏洞整理。 1.如何识别Spring Boot 访问Web，如果WEB页面的icon是绿色的小树叶,并且页面提...

2020-05-15 sevck 阅读(1372) 评论(0)

Author: Alpha@天融信阿尔法实验室 0x01 Hibernate简介 Hibernate是一个开放源代码的对象关系映射框架，它对JDBC进行了非常轻量级的对象封装，它将POJO与数据库表建立映射关系，是一...