51工具盒子
连了我的VPN,你的一举一动都在我的监控之中
> 本文旨在提醒经常使用 VPN/Shadowsocks 服务的童鞋注意自己的账号隐私安全,标题的 VPN 用 Shadowsocks 更为妥当,本文的主角是 Shadowsocks,关于 VPN 服务的不安全性,也会提到。 先来看一张效果图: [
Json 数据通用提取工具[离线]
Golang 实现的一款通用型 JSON 数据提取工具,支持自动识别 JSON 数据节点并有序提取为 CSV 文件。 Convenient JSON data extraction tool. 使用简介 > Json2Csv:请指定 JSON 格式文件路径(支持批量)... > Json2Csv \[-k root.data.items\] data.js...
一键将 JSON 数组转为 Excel 表格
日常工作中常常会有临时导出数据的需求,几乎所有数据源都可以很方便地导出数据为 JSON 格式,例如: [ { "ID":0, "Name":"Lucy", "Age":17, &...
VyOS利用WireGuard配置hub和spoke VPN测试
备注: 1.如果hub配置两个wireguard接口并用不同的监听端口,分别与两个spoke连接,这时可以跑ospf,spoke之间可以通过hub中转进行互联。 2.如果用下面的只配置一个wireguard接口,使用多个证书的情况,测试的时候,hub只能与一个spoke建立osp邻居,即使像DMVPN第三阶段,修改OSPF优先级,或者更改网络类型hub也不能同时与两个sp...
学会挖洞系列之JSON Hijacking漏洞挖掘
现在越来越多的大公司开始建立自己的安全应急响应中心,以用来发现并修复自己的漏洞,接下来我们就来说一下如何去挖这些src的漏洞。 这次介绍的是一个比较简单的JSON Hijacking漏洞的挖掘,通过学习这篇文章我们可以了解到Hi jacking漏洞的原理,如何挖掘该漏洞,挖掘过程中的一些小技巧以及修复此类漏洞的一些方法。首先我们要先了解一些JSON Hijacking漏洞的相...
用 Groovy 解析 JSON 配置文件
> 抛开关于是否使用 JSON 作为配置格式的争论,只需学习如何用 Groovy 来解析它。 应用程序通常包括某种类型的默认或"开箱即用"的状态或配置,以及某种让用户根据自己的需要定制配置的方式。 例如,[LibreOffice Writer](https://www.libreoffice.org/discover/writer/) 通过其菜单栏...
JSON、XML、TOML、CSON、YAML 大比拼
### 一段超级严肃的关于样本序列化的集合、子集和超集的文字 {#toc_1} 我是一名开发者,我读代码,我写代码,我写会写代码的代码,我写会写出供其它代码读的代码的代码。这些都非常火星语,但是有其美妙之处。然而,最后一点,写会写出供其它代码读的代码的代码,可以很快变得比这段文字更费解。有很多方法可以做到这一点。一种不那么复杂而且开发者社区最爱的方式是数据序列化。对于那些不了...
友讯建议用户淘汰存在严重安全漏洞的旧 VPN 路由器
在披露严重远程代码执行(RCE) 漏洞后,友讯(D-Link)建议旧型号 VPN 路由器的用户淘汰和更换其设备。CVE 编号尚未分配,漏洞细节尚未披露,因为公开细节可能会导致漏洞被广泛利用。目前所知的是该漏洞属于缓冲溢出漏洞,会导致未经身份验证的远程代码执行。友讯警告,如果客户继续使用受影响的产品,连接路由器的设备也会面临安全风险。受影响设备包括:DSR-150(2024 年 ...
一次m1 mac上openvpn无法链接的排查
前言 === 最近公司openvpn突然连不上了,最开始以为是网络调整导致了。等了几天后发现还不行,让同事在window上连接,发现并没有问题,自己用命令行连接也没问题。简单排查后,最后发现是柠檬清理导致的。这里简单记录下过程。 排查过程 ==== 首先我是在gui版本上一直链接不上,通过命令行连接,发现是可以成功的。在确定不是网络问题之后,开始排查。通过看openvpn...
fastjson反序列化漏洞一点简单的经验总结
前言 === 随手记的东西,不够详细 总结 === 1. 对复现了fastjson相关漏洞进行复现及研究 2. fastjson漏洞版本很多,首先是从最开始的1.2.22-1.2.24因@type引发的反序列化漏洞。 3. 到 了1.2.25版本意识到危害后把@type改为默认关闭,还添加了黑白名单进行校验开启autotype传入的@type。 4. 在1.2.48...
