jackson原生反序列化触发getter方法的利用与分析 原文：https://xz.aliyun.com/t/12509 首先要知道fastjson也有这个特性：反序列化调用任意类的getter方法的原理与细节 从最开始的fastjson < 1.2.48下的在JSONObject / JSONArray类反序列化过程没有安全检查的情况下…

华夏erp代码审计 省流 由于发现自己审计javacms的水平不行，所以拿个简单的cms练了一下手 基本上通篇就是复现这个华夏ERP CMS 代码审计 - FreeBuf网络安全行业门户 唯一的小突破就是多挖了几个文章没有的洞（但思路是一个） sql: /log/list?search=%7B%22operation%22%3A%220%22%2C…

国赛awd_final wp 全场倒数第一战队的wp，thai真是又菜又爱玩，师傅们轻点喷 awd准备 经过这次国赛awd的锻炼，发现awd提前准备的脚本： 备份>流量监控>批量打全场+自动化交flag>通防/修复 这次主要流量监控和批量打全场都做的不太好，下次吸取教训了！ 关于分数 赛后复盘后觉得，分数是这样算的： 得分： 提交…

巅峰极客ctf 2023 (上) 吐槽 这比赛这么卷是我没想到的（其实烧卖来找我的时候就应该意识到了) , 大伙都不用上班的吗（什么？tel爷上班还是出了，有人请假一道没做出） 还好没去烧卖，不然大概要被嫌弃 榜 接着膜烧卖 我们 学弟很强，带不动我这个废物罢了 babyurl 一个springweb，看controller，两个模板类，一个黑名单…

前言 为什么分两篇呢，因为这份是我从安恒离职后的面试，那段时间是6-7月，已经相当晚了，这似乎是今年的特点 最后签了offer去华为了，小米和微众就没有好好准备，旨在套一个面经和了解他们部门，秋招回来看看 华为 - 网路安全与隐私保护工程师 jd 网上搜就有，不废话了。 华为部门巨大（和腾讯字节美团等类似），我选择的是内部网络实验室，坐标东莞松山湖…

编译原理 参考： 【编译原理】期末复习 零基础自学_哔哩哔哩_bilibili， 第四章 语法分析和语法分析程序_哔哩哔哩_bilibili 易忘的点 句型句子 短语，简单短语（直接短语），句柄 概述，文法，语言 广义推导和多步推导 句型：可以有终结符也可以有非终结符 句子：只有终结符 求闭包： 问题：求短语，简单短语，句柄 先画语法树，再求所有简…

计算机网络 推荐直接看考研课：5.3.5 TCP拥塞控制_哔哩哔哩_bilibili 七层模型-四层模型 一些协议 物理层 这个很少考的，建议赶时间的话直接跳了，冲a的话要看 冲突域和广播域的判断 (76条消息) 如何计算冲突域和广播域-图解分析_广播域和冲突域怎么数_zuike的博客-CSDN博客 网络层 ip数据包和分组传输 红色ip层 ip数…

桂林纪行 2023.6.23-6.25 广西桂林灵川县 桂林电子科技大学 简报 我校学子（如果还有人记得的话）荣获什么信安国赛分赛区一等奖和三等奖，一支队伍成功晋级 心得：太棒了学到很多，师傅们一个比一个帅，说话又好听，超喜欢和他们玩的 details details are as follow: 菜鸡thai带你60秒速通国赛之旅 《原来水墨画不…

SCTF 2023 wp 前言 考六级耽误掉了一天，然后有事又耽误掉白天，最后19号晚上开始上分，然并卵，就只出了一个签到题，菜 siumai和广工是真的太猛了！ 我退役以后深大就快没web了！！！！！好担心！！！！！ checkin wp 访问/2023的时候，抓包看http头可以发现apache版本 由于也没给其他信息就只能从这里开始翻和这个版…

2023.6.3 说说 这几个月心境发生了比较大的变化。 回眸 总结一下这几个月发生了什么： 2023.2.22 顺丰offercall，offer流程走一半被拒 2023.3.4 成都微步offer，漏洞库维护实习生，生活惬意环境舒适压力很小待遇尚可，可惜学校的课不允许我西漂，再加上在成都得了甲流（或者有可能是新冠），2023.3.31离职 20…