一、什么是使用不安全的随机值?软件依赖于不可预测的数值使用了不充分的随机数导致的安全性降低。产生原因：计算机是一种按照既定算法运行的机器，因此不可能产生真正的随机性。伪随机数生成器 ...

0x00 前言LosFormatter一般也是用于序列化和反序列化Web窗体页的视图状态(ViewState)，如果要把ViewState 通过数据库或其他持久化设备来维持，则需要采用特定的 LosFormatter 类来序列化/反序列...

本文主要为了助力企业有效防范软件安全漏洞，提升网络安全防护能力，本期主题为第五十期：可达的assertion的相关介绍。01 什么是可达的assertion?程序包含一个可以被攻击者触发的assert()或类似...

什么是密码分组链接模式未使用随机初始化矢量?在密码块链接(CBC)模式下不使用随机初始化向量(IV)会导致算法容易受到字典攻击。什么是CBC模式?CBC模式的全称是Cipher Block Chaining模式(密文分...

1、什么是XPath注入漏洞?XPath是一种用来在内存中导航整个XML树的语言，它使用路径表达式来选取XML文档中的节点或者节点集。XPath注入是指程序使用外部输入动态构造用于从XML数据库检索数据的XP...

0X00 前言在.NET处理 Ajax应用的时候，通常序列化功能由JavaScriptSerializer类提供，它是.NET2.0之后内部实现的序列化功能的类，位于命名空间System.Web.Script.Serialization、通过System.Web...

简述：oasys是一个OA办公自动化系统，使用Maven进行项目管理，基于springboot框架开发的项目，mysql底层数据库，前端采用freemarker模板引擎，Bootstrap作为前端UI框架，集成了jpa、mybatis等框...

本期主题为调用System.exit()存在安全漏洞的相关介绍。一、为什么调用System.exit()存在安全漏洞?J2EE应用程序调用System.exit()，会关闭其容器。System.exit()其实是Java中结束进程的方法，调...

一、什么是HTTPS会话里的敏感Cookie没有设置'Secure'属性缺陷?HTTPS会话里的敏感Cookie没有设置'Secure'属性,这可能导致用户代理通过HTTP会话以纯文本格式发送这些cookie。...

这是 酒仙桥六号部队 的第 20 篇文章。全文共计3002个字，预计阅读时长10分钟。1背景本文是前段时间做过的测试，当时并没有进行截图以及记录，所以本文全篇使用本地搭建环境来复...