java RASP攻击自免疫技术-初探字节码
rasp(Runtime Application self-protection)最近在国内比较流行,百度也开源了一个rasp的项目,相较于传统waf有许多优点,而我园长师傅也在搞这个,园长师傅博客的资料: http://www.p2j.cn/?p=1862 通过hook关键方法或者系统底层方法并解析修改字节码来实现恶意代码防护,所以学习java字节码必不可少,本文只作个人学习记录,对jvm不甚了解,如有错误感谢指正。 一个java程序执行需要从源码编译为class文件,再由虚拟机运行。所谓字节码就是虚拟机的指令形式。想要舒服的阅读字节码可以通过javap...NIKE SNKRS 抢购流程分析与自动化抢购实现
[留言不会有我的任何响应,请慎重在留言中包含个人联系方式!] 本来是打算帮朋友写一个小程序,据说在网上找了很多人都实现不了nike的自动化抢购的功能,不过后来发现是拿去搞批量购买牟利有点灰产的意思,所以拒绝了继续开发,本来想着核心都实现了他们要搞自己搞吧,然而可笑的是我拒绝后还被这个“朋友”的所谓的“合伙人”嘲讽了一番,呵呵,已拉黑。 实际上nike的开发者也在打击程序自动化抢购,已尝试给他们反馈了相关问题。 nike出的新品鞋会发布在:https://www.nike.com/cn/launch/?s=upcom...java XML解析初探 及微信支付sdk XXE漏洞浅析
月初在网上看到了标题吓人的微信0元支付漏洞,不过一直没时间去详细了解,现在国内外网站已经有了不少相关文章 例如:http://seclists.org/fulldisclosure/2018/Jul/3 实际上了解这个漏洞后发现实际上就是微信商户SDK的xxe漏洞,是一个低级的不安全开发导致的漏洞。 在解析xml的时候出于安全考虑通常需要禁用外部实体,否则易导致xxe漏洞,实现文件读取,服务器端请求伪造,甚至文件上传,命令执行等 问题出在微信支付sdk的WXPayUtil类的xmlToMap方法,方法如下,该方...标签: xxe
先知议题 Java反序列化实战_廖新喜 FastJson1.2.41-1.2.45 浅析
学习自阿里先知公开的资料,感谢每一位分享技术的大佬 https://xz.aliyun.com/t/2400 作者博客:http://xxlegend.com 文档中提到了FastJson 1.2.41-1.2.45版本的反序列化漏洞绕过,都是较新的版本,目前的最新版是1.2.47。还提到了Weblogic,后面再学习 值得注意的是这些版本默认不再开启@type,需要设置vm options -Dfastjson.parser.autoTypeSupport=true开启 文档中提到是...标签: 反序列化漏洞
fastjson-1.2.24 反序列化漏洞浅析
学习自廖新喜大牛的博客,感谢这些乐于分享技术的大牛使得小白有机会学习 最近在学习Spring MVC,在开发中用到了一些JSON库,于是去了解到了一下这些库发生过的漏洞,发现jackson和fastjson在2017年都被爆出过多个代码执行漏洞。 首先了解一下json的序列化,我理解为把java对象转为json字符串,反序列化即为把json字符串转为java对象,例子如下 package jsontest; import com.alibaba.fastjson.JSON; public class Json { ...标签: 反序列化漏洞
Apache Commons-Collections-3.2.1 反序列化漏洞浅析
最近在学java,当然少不了去学习大名鼎鼎的java反序列化漏洞。 一通搜索然后阅读各种大牛的文章找到如下payload import java.io.File; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.ObjectInputStream; import java.io.ObjectOutputStream; import java.lang.annotation.Retention; import java.lang.reflect.Const...标签: 反序列化漏洞
一个绕waf的linux-windows-cmd.jsp
http://www.p2j.cn/?p=1863 园长师傅教我拿反射写,然后自己发挥写了个linux和windows都能用的http://xia0yu.win/linux_win_cmd.jsp.bak <%@ page contentType="text/html;charset=UTF-8" language="java" %> <%@ page import="java.util.List" %> <%@ page import="java.io.InputStream" %> <%@ page import="java...Python通用弱口令检测
用法类似这样:python /Users/xiaoyu/Desktop/login/weakpwd.py /Users/xiaoyu/Desktop/login/login.txt #!/usr/bin/env python # -*- coding: utf-8 -*- import sys, socket # 关键字 Keyword_user = ['user','name'] Keyword_pass = ['pass','pwd'] # 帐号密码 username = ['admin','test'] password = ['admin','test','1234...标签: 弱口令
深度学习之再探验证码识别-Keras
基于Keras可以快速搭建神经网络进行深度学习 卷积神经网络(Convolutional Neural Networks)是一种人工神经网络结构,常被应用于图像识别,卷积神经网络在图像识别方面能够得出优秀的识别结果 搭建出自己的神经网络后,基于卷积神经网络的处理步骤,对图像进行特征提取。首先准备一张普通的手写字母图,作为识别素材 CNN卷积神经网络强大在于它能够很好的获取到图像的核心特征,图像经过两层卷积和池化后核心特征已经很明显得显现出来,大小也被压缩了很多 input_img = Input(shape=(28, 19, 1)) cnn =...机器学习之初探验证码识别-Scikit learn
2017-4-9 小屿 Scikit-learn
最近尝试初探了一下验证码识别相关技术,发现这个也是蛮复杂的,涉及到图像处理,机器学习,卷积神经什么的,只探索了一点皮毛技术,后面会尝试尽可能的深入,不过英文数学水平是硬伤。 验证码识别常规思路是对图像进行处理,将彩色验证码二值化,去除噪点干扰,切割验证码,作为模型进行训练,然后进行测试 图像处理用到PIL库 def contrast(img): """ 增强图像的对比度 """ # 增加对比度 enhancer = ImageEnhance.Contrast(img) img = enhancer.enhance(5...标签: 机器学习 Scikit-learn
你是衣冠楚楚的人 而我只是一个打满补丁的猴子
-
小博客一个,没必要伤害她
热门文章
存档
标签
最新评论
- yz
想想你喜欢什么,想做什么,找好一个自己的... - 小屿
@Jahan:testfun1024#p... - Jahan
Hello dear Xia0 i a... - brave
@万:你的手机应该是anroid7.0以... - jhsy
新版的cookie机制应该又变了. 而且... - 小屿
@janto:无兴趣 - janto
新版的这些好像不起作用了,deviceI... - hunk
正在研究,可否发一份新源码?todz$1... - miffy
请问可以加个好友咨询下吗? - vegetableChicken
@Snkrs:我也遇到和你一样的问题了,...