.NET 高级代码审计 | 一种利用路径变形绕过权限校验的思路
在.NET代码审计和红队打点中,经常会遇到一种“奇怪”的行为现象:某些 .NET 应用的接口原本需要身份认证,但只需在 .aspx 或 .ashx 等后缀后随手加一个 /,就能悄无...
admin
.NET 高级代码审计:一种绕过 GZip 叠加 BinaryFormatter 实现反序列化漏洞的技术
在.NET反序列化漏洞审计与利用过程中,攻击者通过 BinaryFormatter 类型进行 payload 加载与执行。本文将从 GZip 技术基础出发,逐步分析如何结合 Bin...