JoyChou JoyChou

[置顶] 愿你们既能朝九晚五,又能浪迹天涯

Misc 阅读(6356)
这边文章就当作以后的扯淡、吐槽吧 -,-2014年11月10日今天是一个特别的日子,至于为什么,就不告诉你们了 -)

Exploiting JSON CSRF

Web 阅读(159)
前言前段时间,看到一个POST为JSON格式的CSRF,并且验证了Content-Type是否是application/json。构造后发现:使用form能构造出JSON的跨域请求,但是无法设置Content-Type。使用XMLHttpRequest或fetch能构造出J...

How to Get Real IP

Web 阅读(309)
前言最近看到一些错误获取IP的情况,导致IP可被伪造。代码和Nginx配置,单独都没有安全问题,但是两者一起使用就会存在安全问题。漏洞产生原因假设,现在的网络架构为:用户 -> Nginx Proxy -> TomcatNginx代理相关配置如下:proxy_s...

Use DNS Rebinding to Bypass SSRF in JAVA

Web 阅读(534)
1. 前言本篇文章会比较详细的介绍,如何使用DNS Rebinding绕过Java中的SSRF。网上有蛮多资料介绍用该方法绕过常规的SSRF,但是由于Java的机制和PHP等语言不太一样。所以,我觉得,有必要单独拿出来聊一聊,毕竟目前很多甲方公司业务代码都是Java。文章有...

How to Build Cloud WAF of HTTPS

Web 阅读(1154)
0x00 前言如何建立云WAF这篇文章讲述了我构造http的云WAF的经历。最近博客迁移到了https,所以就存在一个「https的WAF环境,应该如何配置」的问题。0x01 如何配置在手上没有什么资料的前提下,我开始进行大胆猜测。我们知道这个过程一定是:访问https:/...

Nginx CVE-2017-7529 Exploit

Web 阅读(1444)
漏洞描述在Nginx的range中存在整数溢出漏洞,可导致Nginx信息泄露。该漏洞用处不大,不过甲方公司要是修复这个漏洞还有点麻烦,建议使用WAF进行拦截吧233
雷姆
拉姆