这是 酒仙桥六号部队 的第 20 篇文章。全文共计3002个字，预计阅读时长10分钟。1背景本文是前段时间做过的测试，当时并没有进行截图以及记录，所以本文全篇使用本地搭建环境来复...

final修饰符(关键字)，若类被声明为final，意味着它不能再派生出新的子类，不能作为父类被继承。因此一个类不能既被声明为abstract，又被声明为final。将变量或方法声明为final，可以保证它们在...

一、什么是使用过时方法缺陷?代码使用了不推荐使用的或已经过时的方法，这表明该代码没有得到积极地审查或维护。随着编程语言的发展，由于以下原因，方法有时会过时：1、语言进步2、更深入理解...

学习代码审计要熟悉三种技术,分四部分走一.编程语言 1.前端语言 html/javascript/dom元素使用，主要是为了挖掘xss漏洞，jquery 主要写一些涉及到CSRF脚本使用的或者DOM型XSS，JSON劫...

一、什么是通过错误消息导致的信息暴露缺陷?软件会生成一条错误消息，其中包含有关其环境，用户或关联数据的敏感信息。二、通过错误消息导致的信息暴露缺陷构成条件有哪些?敏感信息本身可能是有...

一、什么是“违规的对象模型：对象只定义了Equals和Hashcode方法之一”的漏洞?也就是同一个对象没有同时包含equals和hashcode。因为Java对象需要遵守许多与相等相关的约束条件。其中一个约束条...

前言我就是小菜鸡本鸡了，不是很会写东西，请各位大佬多多见谅。本文基于python2.7，因为python3并不是很懂。python文件如果要发布的话，有时候还是难免想保护一下自己的源码，有些人就直接编译...

0X00 前言在.NET处理 Ajax应用的时候，通常序列化功能由JavaScriptSerializer类提供，它是.NET2.0之后内部实现的序列化功能的类，位于命名空间System.Web.Script.Serialization、通过System.Web...

 1. 示例代码<!-- oauth-popup.html --><script>const handlers = Object.assign(Object.create(null), {getAuthCode(sender) { sen...

一、什么是HTTP响应拆分?HTTP响应拆分是由于应用程序未对用户提交的数据进行严格过滤，如果用户输入的值中注入了CRLF字符，有可能改变HTTP报头结构。HTTP响应拆分漏洞，也叫CRLF注入攻击。CR、L...