Linux下SUID提权入门

Apache Commons Collections<=3.2.1反序列化漏洞是Java反序列化的经典漏洞，Apache-commons-collections组件为Java提供了很多基础常用且强大的数据结构，方便开发。本次分析的版本选择3.1。

主要目的用于安全研究，获取最新安全咨询。基于scrapy框架，使用scrapy-redis插件提升爬虫性能，实现增量爬取。redis同时作为数据库保存数据。

Redis服务的默认端口是6379，是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。

这两天Apache Tomcat爆出来的新漏洞，CVE-2020-1938，可远程读取web服务器下的文件，危害较大。

RIPS Technologies2017代码审计的第二篇。

学校延期开学，在家闲着没事，打算重新复习下php代码审计方面的知识，找到了RIPS Technologies2017年的一个代码审计项目，之前只是大致读过没有仔细分析，这次记录一下分析过程，第一篇。

通过一些典型的Java代码来分析易产生漏洞的点，入门篇。。。

MyExpense1靶机题解，感觉不错，贴近真实情况，这里记录一下

此类攻击属于 CSRF（ Cross-site request forgery 跨站请求伪造）攻击范畴。当某网站通过 JSONP 的方式来跨域（一般为子域）传递用户认证后的敏感信息时，攻击者可以构造恶意的 JSONP 调用页面，诱导被攻击者访问来达到截取用户敏感信息的目的。