漏洞burpsuite逻辑
Web漏洞-XSS理论和靶场小试牛刀(一)
★★实战前置声明★★ 文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 1、简单了解HTML和JS基础 想要知道怎么XSS攻击,是需要了解一些HTML和JS基础知识点的,不然后面一些脚本注入会不清 ......
Java圈高危安全漏洞
主要高危漏洞: 1、fastjson-1.2.78 报告网址:https://devhub.checkmarx.com/cve-details/CVE-2022-25845/ 风险指数:9.8/10 解决方式:升级版本至1.2.83 2、spring-web:5.2.9.RELEASE CVE-20 ......
XXE漏洞与有回显的XXE
XXE漏洞与有回显的XXE XXE:XML外部实体注入(xml external entity ),可造成文件读取,命令执行等攻击 HTML侧重页面外观,XML侧重数据与存储 XML没有预定义标签,可以自定义,通常用DTD(文档类型定义)规范XML的格式 定义DTD的方式: 内部DOCTYPE声明 ......
【安全测评/等保要求】金蝶V9/V10 “Apusic应用服务器未授权目录遍历” server_file 漏洞复现及修复
最近网安不定时扫描,我们服务器的金蝶AAS中间件V9版本,被扫出了“Apusic应用服务器未授权目录遍历” server_file 漏洞,我们先来回顾一下出现的问题: 漏洞页面 https://www.xxx.com:1234/sso/..;/admin/protected/selector/ser ......
赋值运算符,比较运算符,逻辑运算符的应用
print(' 赋值运算 ')a=20b=30a=a+b #赋值运算:此处的a是经过20+30后 再次赋值给aprint(a) #运行接轨a=50a+=b #这里的运算相当于 a=a+b 其运算结果为50+30=80print(a) #结果为80a-=b #这里的运算相当于 a=a-b 其运算结果为 ......
Java Fastjson反序列化漏洞研究
一、Fastjson简介 Fastjson是阿里巴巴的一个开源项目,在GitHub上开源,使用Apache 2.0协议。它是一个支持Java Object和JSON字符串互相转换的Java库。 Fastjson最大的特点在于它的快速,它超越了JackJson、Gson等库。据官方发布的说明,Fast ......
XMLDecoder反序列化漏洞研究
一、XMLDecoder简介 java.beans.XMLDecoder 是jdk自带的以SAX方式解析XML的类,主要功能是实现java对象和xml文件之间的转化: 序列化:将java对象转换成xml文件 反序列化:把特定格式的xml文件转换成java对象 下面是一个简单地demo样例, Pers ......
php开发中常见的漏洞点(一) 基础sql注入
前言 本系列为小迪2022的学习笔记,仅用于自我记录。 正文 在一般情况下,一个网站的首页大致如下 在上方存在着各种各样的导航标签、链接。而一般情况下网站的导航会用参数进行索引的编写,比如id、page等等 比如上面的链接格式,当用户访问不同页面时id参数值也会跟着变化,比如我让id=2即可更改页面 ......
从字节码角度深入剖析:i++和++i的逻辑
i++和++i的深入剖析 先说结论: i++或++i不参与运算的话,i++和++i的指令代码是没有区别的。 i++或++i参与运算。从字节码指令角度来看,主要是看先load还是先执行iinc 1 by 1的顺序。 不参与运算 先把0加载到操作数栈上,弹出放到slot1的局部变量表位置,iinc 1 ......
神经网络基础篇:详解向量化逻辑回归(Vectorizing Logistic Regression)
向量化逻辑回归 讨论如何实现逻辑回归的向量化计算。这样就能处理整个数据集,甚至不会用一个明确的for循环就能实现对于整个数据集梯度下降算法的优化 首先回顾一下逻辑回归的前向传播步骤。所以,如果有 \(m\) 个训练样本,然后对第一个样本进行预测,需要这样计算。计算 \(z\),正在使用这个熟悉的公式 ......
Jackson反序列化漏洞研究
一、Jackson序列化库使用简介 0x1:Jackson背景 Jackson是一个强大而高效的Java库,处理Java对象及其JSON表示的序列化和反序列化。它是这项任务中使用最广泛的库之一,并在许多其他框架中作为默认的Json引擎使用。例如,虽然Spring框架支持各种序列化/反序列化库,但Ja ......
ai替换人脸技术是如何实现的,讲一下逻辑和原理
AI人脸替换技术通常涉及到机器学习和图像处理两个领域。其中最著名的实现之一是“深度换脸”技术,也就是DeepFake技术。这项技术的基础是一种称为深度学习的机器学习方法,尤其是一种名为卷积神经网络(CNN)的网络结构。下面我将简化技术细节,以便新手和小白能够理解。 基本概念 人脸识别:利用AI算法识 ......
matlab用Logistic逻辑回归建模和马尔可夫链蒙特卡罗MCMC方法分析汽车实验数据
原文链接:http://tecdat.cn/?p=24103 原文出处:拓端数据部落公众号 此示例说明如何使用逻辑回归模型进行贝叶斯推断。 统计推断通常基于最大似然估计 (MLE)。MLE 选择能够使数据似然最大化的参数,是一种较为自然的方法。在 MLE 中,假定参数是未知但固定的数值,并在一定的置 ......
【漏洞复现】大华智慧园区综合管理平台存在敏感信息泄露漏洞
免责申明 本公众号的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用 ......
通过mybatis-plus的自定义拦截器实现控制 mybatis-plus的全局逻辑删除字段的控制 (修改其最终执行的sql中的where条件)
需求:过滤部分请求不实现mybatis-plus的逻辑删除 看到网上关于mybatis-plus的自定义拦截器的文章有的少 想了想自己写了一篇 欢迎参考 指正 通过springboot的拦截器 在请求进来时 标记需要实现的需求的逻辑 import lombok.Data; @Data public ......
【漏洞复现】瑞友天翼应用虚拟化系统RCE漏洞
免责申明 本公众号的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用 ......
2023-10月数字逻辑与电路设计助教总结
一、助教工作的具体职责和任务 1.和老师如何配合的:在担任助教的过程中,我会和老师商量如何收作业以及收作业的时间,例如让学委加我QQ约定好时间收作业。老师会和我商量批改作业的问题,以便于及时发还作业。老师会让我和同学们商量做实验的时间和顺序,以及安排好实验的时间。 2.具体职责和任务:职责和任务是登 ......
逻辑卷
目录逻辑卷 LVM1. 为什么使用逻辑卷1.1 分区的缺点1.2 逻辑卷的优点2. 逻辑卷基本概念3. 逻辑卷步骤4. 扩容 逻辑卷 LVM 1. 为什么使用逻辑卷 1.1 分区的缺点 分区无法扩容,只能重新分区,这会导致数据丢失 分区必须是硬盘上连续的空间 为了解决分区的缺点,采用逻辑卷技术 1. ......
XStream反序列化漏洞原理分析
一、XStream简介 0x1:XStream介绍 Xstream是一种OXMapping 技术,是用来处理XML文件序列化的框架,在将JavaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁索。Xstream也可以将JavaBean序列化成Json或 ......
逻辑思维和结构化思维有什么关联?
逻辑思维和结构化思维是密切相关的两种思维方式,它们都是在处理信息时采用系统性和有序性的思考方式。在本文中,我将详细探讨逻辑思维和结构化思维的定义、特点、关联以及如何建立高效的思维模式。 一、逻辑思维的定义及特点 逻辑思维是指根据一定的规则和原则,对事物进行分析、判断、推理和演绎的思维方式。逻辑思维的 ......
Linux查看物理CPU个数、核数、逻辑CPU个数
Linux查看物理CPU个数、核数、逻辑CPU个数 | 总核数 = 物理CPU个数 X 每颗物理CPU的核数 总逻辑CPU数 = 物理CPU个数 X 每颗物理CPU的核数 X 超线程数 查看物理CPU个数 cat /proc/cpuinfo| grep "physical id"| sort| un ......
LVM管理——逻辑卷
逻辑卷 在Linux上使用硬盘 分区 分区无法扩容,只能重新分区,数据会丢失 必须是硬盘上连续的空间 格式化 挂载 逻辑卷(逻辑上的硬盘) 无限扩容,不会影响数据 空间可以不连续 有限的备份功能 制作逻辑卷的过程 物理卷(pv):将硬盘分区拆分成一个个PE(一个PE 4mb) 好处:分区 硬盘最后都 ......
Kafka反序列化RCE漏洞(CVE-2023-34040)
Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录 (record) 指 Kafka 消息中的一条记录。这一个漏洞所影响的组件其实是 Spring-Kafka,严格意义上来说并不算是 ... ......
Mysql 逻辑语句
1、第一种写法 select id, case when p_id is null then "Root" when id not in (select distinct p_id from Tree where p_id is not null) then "Leaf" else "Inner" ......
Java反序列化漏洞原理研究
一、Java类加载机制 0x1:Java程序如何运行 一个Java程序的运行整个过程分为编译时和运行时。 首先原始的java程序源码先由java编译器javac来编译成字节码,即.class文件,然后有ClassLoader类加载器加载类的常量、方法等到内存,字节码校验器对变量初始化、方法调用、堆栈 ......
【漏洞复现】深信服下一代防火墙NGAF存在任意文件读取漏洞
免责申明 本公众号的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用 ......
【漏洞复现】大唐电信AC集中管理平台敏感信息泄漏漏洞
免责申明 本公众号的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用 ......
【宝藏工具】开源组件信息一键查询,快速获取组件来源、版本、源码地址、漏洞补丁、推荐版本!
铁子们,分享一个开源组件安全检索 免费工具,需要的自取~ 输入组件名,一键查询可以组件版本、来源、安全状态、漏洞详情和推荐版本、修复建议这些。 点这个链接注册后直接就能用:组件安全检索工具 一键查询第三方组件版本、漏洞、所属国家、所属语言、源码链接等: 查看漏洞详情: 查看修复建议: 查看版本推荐和 ......
xxl-job默认accessToken命令执行漏洞复现
起因: 昨天看见微步发布XXL-JOB默认accessToken身份绕过漏洞,之前hw期间遇到过几次,都没弱口令和未授权,对其有点印象,遂复现一下。 漏洞影响:2.3.1和2.4 环境准备: 1、下载即可:https://github.com/xuxueli/xxl-job/releases/tag ......
得物自研客服IM中收发聊天消息背后的技术逻辑和思考实现
本文将探秘得物自研客服IM中收发聊天消息背后的技术逻辑和思考实现,帮助大家了解如何在IM聊天场景中提供高效、安全、可靠和良好的用户体验。 ......