JavaWeb 回显技术是做漏洞检测和利用绕不过去的。由于反连检测会受网络影响，对于内网或是网络环境差的场景有漏报的风险。所以本文研究下 JavaWeb 的回显。

Nuclei 是一个被广泛使用的漏洞模版程序，它可以发起一系列的请求，并从请求中获取请求的结果是否符合某些条件，也可以从这些请求中提取用户期望的数据。为了增强 Nuclei 的表现力，它在一些版本中新增了 DSL 机制，DSL 本身是一个非常优秀的工程实践，可以极大增强文本内容的计算能力和逻辑表现力；准确的说 Nuclei DSL 并不是图灵完备的 DSL，它仅仅是使用了表达式的计算和逻辑运算特性来达成其运算目的。在这种情况下，Nuclei 通过 DSL 来实现逻辑表达其实还是相对非常直观的。

2023 Aliyun CTF ezbean 是一道 CTF java 反序列化题目。题目的目的是让选手通过一个 java 原生反序列化入口，最终达成 RCE。本文对题目的几种解法做了具体的分析，主要分为预期解法和非预期解法两种思路。通过对 Fastjson 在反序列化的行为分析，从两个方向攻克本题。

JSON（ JavaScript Object Notation ）是一种轻量级的数据交换格式，常用于 Web 应用程序中的数据传输。在 HTTP 数据包信息传递时，JSON 扮演着非常正常的角色，因为它是一种通用的数据格式，可以被多种编程语言和应用程序所支持。

｜MITM 劫持的过程中，HTTP 协议并不是唯一选择。

正则表达式在文本分析中是一种非常强大的工具，它可以描述一个字符串，我们可以使用这个描述去匹配、搜索字符串。

JNDI核心原理详细分析

ps：在java版本大于1.8u191之后版本存在trustCodebaseURL的限制，只能信任已有的codebase地址，不再能够从指定codebase中下载字节码

背景

背景