JAVA安全网

【置顶推荐】腾讯JAVA代码安全编码指南

- [1 安卓类](#1) * [I. 代码实现](#1.1) + [1.1 异常捕获处理](#1.1.1) + [1....

2021-06-07 sevck 阅读(4321) 评论(0)

目录 1 安卓类 I. 代码实现 1.1 异常捕获处理 1.2 数据泄露 1.3 webview 组件安全 1.4 传输安全 II. 配置&环境 2.1 AndroidManifest.xml 配...

工具,知识库

2021-06-07 sevck 阅读(1313) 评论(0)

actuator未授权这个洞很久了，但是今天无意间被白帽子爆了一个，于是立即对此漏洞进行复盘排查，果然发现线上其他也有此类问题。 actuator 常规利用方式，读取env的password、获取httptrace，...

漏洞分析

2021-05-31 sevck 阅读(2336) 评论(0)

在看b1ue大佬文章fastjson 1.2.68 autotype bypass的时候，看到的其中一篇文章记录一下。 Author: b1ue 支持的版本：目前来看是可以影响到最新版本（1.2.73）的。细节 ...

漏洞预警

2021-04-20 sevck 阅读(2994) 评论(0)

漏洞描述今日互联网野外发现Oracle WebLogic T3反序列化漏洞，攻击者可远程执行命令。目前状态为0day，目前官方暂未发布安全补丁。建议用户及时防御。知道创宇404实验室补充漏洞适用于JDK7u21...

工具,知识库

2021-03-18 sevck 阅读(2302) 评论(0)

背景 Brup Suite的爆破功能经常使用，但是很多网站，可能使用了AES，通过前端我们可以获取到key和iv偏移量。获取到，但是遍历、爆破等等，Brup本身是不能够支持的，所以分享Burp_AES_Plugin...