远海的博客

复习半年准备迎接专升本考试了。各位师傅半年后见。

发布 1 条评论

在net中,比较常见的几种脚本后戳名有,aspx,ashx,asmx,svc等等。(asp等其实并不是由net程序去处理)在net程序中所有未预编译的程序最终都会进入BuildManager,System.Web.Compilation.BulidManager负责整站的动态编译。如果开发者在程序根目录的PrecompiledApp.config中设置了不更新编译内容后,那么最终在Build...

发布 评论

Telerik.Web.UI for ASP.NET AJAX某版本存在任意文件下载漏洞:在做渗透测试任务时,遇到一个ASP.NET站点.通过目录扫描发现存在Telerik.Web.UI.WebResource.axd路径。此路径是第三方控件Telerik UI FOR ASP.NET在web.config中映射的handler查阅历史相关漏洞后主要有以下CVE 2014-2217 CVE-...

发布 2 条评论

某硬件设备漏洞挖掘之路-Web选手初入"二进制"Author: Yuanhai遵守相关法律法规,本文不会带有任何厂商标识。0x01:前言很早之前就有打算开始往二进制方向发展,但由于基础较差,需要花费大量时间从0开始学习。阅读其他师傅所写的文章受益良多。最有印象的就是忍者师傅所写的《web选手如何快速卷入二进制世界》。简单的二进制应用在IDA的伪代码状态下与日常的WEB应用审计流程基本一致。下...

发布 1 条评论

Spring MVC版本在<5.3的情况下suffixPatternMatch默认为True.在setUseSuffixPatternMatch方法上方也可以看到相关注释: /** * Whether to use suffix pattern match (".*") when matching patterns to * reques...

发布 评论