Mr.Be1ieVe's Treasure

路虽远行则将至,事虽难做则必成

博客&笔记思维方式V3.0

博客和笔记方式再进化

本文简单说明了升级和迁移一些背景,介绍了从hexo迁移至hugo、配置CICD实现免本地构建、使用umami或者google analysis进行追踪分析等的相关配置。

Posted by Mr.Be1ieVe on Sunday, June 26, 2022

三个月甲方实习总结

前言 有段时间也没有写点东西发到博客上面去了,这次的内容会有点不一样,更像是朋友之间聊天,聊聊进展,聊聊感悟,聊聊前景。主要也是因为今天前辈发

Posted by Mr.Be1ieVe on Wednesday, September 15, 2021

WebGoat代码审计其6-不安全的反序列化

不安全的反序列化 POST /WebGoat/InsecureDeserialization/task 从结果出发 代码来自木爷 JAVA代码审计10:WEBGOAT Insecure Deserialization - 木头的小屋 Main.java package org.dummy.insecure.framework; import java.io.ByteArrayOutputStream; import java.io.IOException; import java.io.ObjectOutputStream; import java.util.Base64; public class Main { public static void main(String[] args) throws IOException {

Posted by Mr.Be1ieVe on Sunday, August 1, 2021

WebGoat代码审计其5-XXE

Let’s try 这个按照第三页的,改一改 <?xml version="1.0"?> <!DOCTYPE author [ <!ENTITY js SYSTEM "file:///"> ] ><comment> <text>&js;</text></comment> 即可完成。看代码的话需要搜索xxe/simple 结果只要包含usr etc var 就判成功了

Posted by Mr.Be1ieVe on Sunday, July 11, 2021

WebGoat代码审计其4-失效的身份认证

认证绕过 POST /WebGoat/auth-bypass/verify-account secQuestion0=test&secQuestion1=test&jsEnabled=1&verifyMethod=SEC_QUESTIONS&userId=12309746 按照上面例子移除,没有成功,直接看代码了 这里会先调用下面的parseSecQuestions()处理,将名字包含secQues

Posted by Mr.Be1ieVe on Saturday, July 3, 2021

avatar

安全运营,兼任应用安全、基础安全。

FEATURED TAGS
awd buu ctf hackthebox linux使用 xray 专业学习 基础知识 学习笔记