“2022 年”
postMessage安全问题
最近看到两个比较有意思的postMessage安全问题,虽然简单但是有趣。 通常对于两个不同页面的脚本,只有当执行它们的页面位于具有相同的协议(通常为https)、端口号以及主机(两个页面的do...
对某表达式类验证码的识别
在一些场景我们可能需要识别验证码,本文就简单介绍我遇到的某个场景该如何完成验证码的识别,其实就相当于一个简单例子。你甚至可以把本文当做这个项目的简单实践。 事情是这样的,某网站用到了验证码,然后...
JAVA反序列化学习
本文主要记录java反序列化的内容(方便需要的时候回忆),之前因各种原因一直拖着,最近终于补上了这方面的技能树。 另外,后面好几部分都在一定程度上参考了该项目中的内容,先表示感谢。 基本环境配置...
zip在CTF-web方向中的一些用法
经常能够看到zip文件在web方向的一些应用,总能给人带来各种惊喜,小编今天就给大家来盘点一下zip文件奇奇怪怪的利用或者说是处理的方式(垃圾营销号式开头。 所以是怎么回事呢?啊对对对就是这么一...
对cobaltstrike4.4的简单魔改
之前,对于cobaltstrike破解版使用的解决方案是白嫖来的cobaltstrike原版包(记得检查hash值)结合cobaltstrike破解器。这样能够相对轻松地使用破解版却用着相对踏实...
JavaScript/JPEG|GIF bypass CSP
今年除夕真棒,在农历新年0:02的时候做完了利用ploytlot JPEG bypass CSP的一道题。本来能在农历去年做完的,但因为利用了别人的拉挎脚本(其实是自己眼瞎)导致耽误了不少时间。...