JavaAgent简述
javaAgent能干什么 提供了一种虚拟机级别支持的 AOP 实现方式,可以利用Instrumentation API实现一个Agent程序,在不修改程序源代码的情况下,在程序启动前修改类的定义。进而我们就拥有了获取当前应用的上下文,在应用运行中实时分析数据流以及调用栈的能力。比如: 我们熟知 ...
阅读更多
Jsonp漏洞研究
前言 前面了解了一下 概念1.众所周知,Ajax请求资源受同域的限制,不管是静态资源,动态页面,web服务都不行 2.同时我们发现web页面上调用JS文件时则不受跨域的影响(不仅如此,我们还发现凡是拥有‘src’这个属性的标签都拥有跨域的能力,比如<script>、<img> ...
阅读更多
Cors漏洞研究
0x01前言: 以前一直认为csrf类漏洞比较鸡肋,而且还是读取类的,所以一直得过且过的没有详细进行研究。最近也是听到这个洞也是被大多数SRC厂商所接受,直接信息够敏感那钱就足够多,所以就来详细了解了解。 0x02Cors的概念CORS是一个W3C标准,全称是”跨域资源共享”(Corss-orig ...
阅读更多