JoyChou JoyChou

分类 Web 下的文章

此内容被密码保护

Web 阅读(42)
请输入密码访问

此内容被密码保护

Web 阅读(431)
请输入密码访问

JAVA XXE Vulnerability

Web 阅读(1911)
0x00 前言今天遇到一个Java XXE漏洞,需要修复方案,网上的方案试了都不行。最后发现,需要使用造成XXE漏洞类的setFeature方法设置disallow-doctype-decl为true。最后给find-sec-bugs提了一个ISSUE,详情可以看 http...

此内容被密码保护

Web 阅读(855)
请输入密码访问

File Upload and WAF

Web 阅读(1555)
1. 前言本文主要讨论下 文件上传和WAF的功与防。测试环境均为nginx/1.10.3PHP 5.5.34有些特性和 语言及webserver有关,有问题的地方,欢迎大家指正。

Typecho install.php Unserialize Vulnerability Analysis

Web 阅读(1218)
对PHP反序列化的漏洞理解可以阅读下这篇浅谈php反序列化漏洞文章。

Typecho SSRF Analysis and Exploit

Web 阅读(6353)
1. 前言最近,WAF捕获到一条SSRF攻击payload,发现被攻击的域名是一个Typecho的博客系统。然后就去Google了下Typecho SSRF关键字,发现和WordPress一样,xmlrpc也存在同样的SSRF问题。自己博客也是使用Typecho,所以就分析...

Exploiting JSON CSRF

Web 阅读(3474)
0x00 前言前段时间,看到一个POST为JSON格式的CSRF,并且验证了Content-Type是否是application/json。构造后发现:使用form能构造出JSON的跨域请求,但是无法设置Content-Type。使用XMLHttpRequest或fetch...
雷姆
拉姆