无聊，学习一下Web 3的知识

最近看到一篇文章内容，想到自己好想忘记了XXE的一些知识点，做一个回顾

这个场景的利用前提都是未授权或者弱口令进入后台然后进行操作，最近看到了一些文章，主要是后面两种，学习一下

Confluence CVE-2022-26134 分析

在群里看到两个关于权限校验的漏洞，然后想起之前遇到一个jetty+Spring环境的越权案例，毕竟比起使用 Tomcat，jetty的环境在云环境上有更高的效率，各互联网中大厂都逐渐使用jetty部署应用，这里分析一下

来自Litch1大哥的《Make JDBC Attack Brilliant Again》学习记录

一个比较偏的序列化组件，看到了就学习一下

尝试一下RASP是怎么使用的

这个点有时候实际情况坑还是挺多的

又是填坑学习的一天

来自RWCTF的一个题目，学习了

在h3c的官网上找到一个固件，研究了一下

关于SpringSecurity权限校验的一个洞，可以拿来当一个trick之类的吧，之前没整过SpringSecurity，自己搭建一次熟悉一下，影响了5.5.7 之前的 5.5.x5.6.4 之前的 5.6.x早期不支持的版本

继续填坑罢了

域名过期了，又买了个域名，想着不能浪费，之前的blog很久没更新了，想着重新弄一个。。。后续还得把文章移上去，慢慢来吧

陈师傅知识星球里面看到的，刚好有空跟着学习一下，学习的本质了

实习时候的学习笔记。。。。

自从有了Gateway的RCE之后，后续我感觉Spring Cloud 的其他组件也是挖掘漏洞的重点，这个果然又成为了下一个目标

总结一下shiro权限绕过的内容

第一次使用这个工具记录一下