重要说明本文中涉及到的所有操作均得到了客户单位的授权，并且在漏洞修复后得以公开。请勿在未授权状态下进行任何形式的渗透测试！！！！ 漫长的探索某天，接到一个任务，要求对某医院的信息系统做一次安全检测，看能否发现问题。经过初步的信息收集后，发现该医院并无...

前言代理模式是一种设计模式，提供了对目标对象额外的访问方式，即通过代理对象访问目标对象，这样可以在不修改原目标对象的前提下，提供额外的功能操作，扩展目标对象的功能。我理解的代理就是一个中间人，这个中间人不仅实现了代理对象的功能，还能自己添加一些功能。...

前言RPC全称为远程过程调用，通俗点讲就是可以在不同的设备上互联调用其方法，比如client可以远程调用server上的方法。而RMI是jdk中RPC的一种实现方式，通过RMI可以轻松的实现RPC而不必理会这其中复杂的调用过程。由于RMI的实现过程调...

前言java类加载器是JVM加载类到内存并运行的过程，这个过程有点复杂，除了系统自定义的三类加载器外，java运行用户编写自定义加载器来完成类的加载过程。java安全中常常需要远程加载恶意类文件来完成漏洞的利用，所以学习类加载器的编写也是很重要的。 ...

前言如果要想深入学习java安全，除了java必备的基础知识外，还有一些java高阶的知识需要了解，例如反射，类加载，RPC，动态代理等。这些概念是java漏洞利用的基础，例如shiro反序列化，fastjson反序列化等。 这篇文章我们来详细说说j...

PHP全局变量传参大家都知道PHP的全局变量有：$GET,$POST,_COOKIE等，当我们向这些变量传参时，在代码中的任何地方都可以获取到其传入的值。例如： <?php$a = $_GET["a"];printr($a)...

yzmcms简介YzmCMS（以下简称本产品）采用面向对象方式自主研发的YZMPHP框架开发，它是一款开源高效的内容管理系统，产品基于PHP+Mysql架构，可运行在Linux、Windows、MacOSX、Solaris等各种平台上。其github...

简介网络钓鱼攻击指的是攻击者尝试通过电子邮件、网站、短信或其他形式的电子通信窃取敏感信息，控制目标主机的行为。钓鱼攻击在被害者看起来像来自合法公司或个人的正式通信，往往被害者短期内无法知道自己已被攻击。 根据Verizon Enterprise的20...

MyBatis简介MyBatis 是一款优秀的持久层框架，它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息，将...

程序执行的本质当我们写完一段程序需要给电脑进行运行时，首先编译器需要将代码编译为CPU可以看懂的机器码然后装载到内存中，CPU读取到内存中的指令后就会执行其中的执行控制IO设备完成相应的工作。 CPU分为寄存器，运算器和控制器三部分。 第一行c++代...