安全博客 | CN-SEC 中文网

安全博客

GISEC 2025｜华为联合IEEE面向中东地区发布星河AI融合SASE解决方案白皮书

[阿联酋，迪拜，2025年5月7日] 海湾信息安全博览会2025（Gulf Information Security Expo and Conference，GISEC）期间，华为成功举办星河AI网络...

22小时前2 views评论

阅读全文

安全博客

综述合辑 | 《网络空间安全科学学报》综述论文（上）

01联邦学习拜占庭攻击与防御研究综述作者：孙钰,刘霏霏, 李大伟, 刘建伟摘要：为解决“数据孤岛”和隐私泄露问题,联邦学习将训练任务部署在多个客户端进行本地训练。然而,分布式训练环境易受拜占庭攻击,拜...

03月13日33 views评论

阅读全文

安全博客

通达OA 任意用户登录漏洞

通达 OA 存在认证绕过漏洞，由外部可控的参数可登录任意用户漏洞描述通达 OA 是一套国内常用的办公系统，2020年4月17日，通达OA官方发布了最新的通达OA 11.5.200417版本，该版本修...

02月27日107 views评论

阅读全文

安全博客

Weblogic IIOP 反序列化漏洞学习笔记(CVE-2020-2551)

Weblogic IIOP协议默认开启，跟T3协议一起监听在7001端口，这次漏洞主要原因是错误的过滤JtaTransactionManager类，JtaTransactionManager父类Abs...

02月27日38 views评论

阅读全文

安全博客

Python 定制QQ机器人

前两天见有同学写QQ机器人用于每天代为疫情打卡，感觉是挺方便的，但有违学校规定，后被迫停止了，遂自己写了脚本挂服务器，然后感觉这个机器人挺有趣，小小研究了下安装酷Q on Docker酷Q原是Wi...

02月27日30 views评论

阅读全文

RocketMQ 5.1.1写计划任务RCE

CVE-2023-33246 是通过updateBrokerConfig更新Broker的filterServerNums和rocketmqHome这两项配置进行RCE的（rocketmqHome会被...

02月27日安全博客13 views评论

阅读全文

安全博客

Nacos Raft Hessian反序列化漏洞分析

Nacos默认的7848端口是用于Nacos集群间Raft协议的通信，该端口的服务在处理部分Jraft请求时会使用Hessian进行反序列化影响版本 1.4.0 <= Nacos < 1...

02月27日22 views评论

阅读全文

安全博客

Tabby学习笔记 & Java反序列化gadget分析

Tabby学习笔记，挖掘反序列化gadget的思路和一些链的详细分析及POC 环境搭建Neo4jTabby需要用到Neo4j，项目中有相应的Dockerfile，直接启动，7474为Web端口 123...

02月27日17 views评论

阅读全文

Apache Jena 代码执行漏洞(CVE-2023-22665)

ARQ是Jena的一个查询引擎，它支持SPARQLRDF查询语言，同时也支持JavaScript。当Jena应用的SPARQL语句被外部可控时，将会造成任意代码执行漏洞。影响范围 Apache Je...

02月27日安全博客23 views评论

阅读全文

安全博客

Apache Archiva 任意目录删除(CVE-2022-40309) 和任意文件读取(CVE-2022-40308)

Apache Archiva是一个存储库管理软件，2.2.9以下版本在删除或者下载Artifact时，可以在目录或者文件名中注入目录穿越符，导致任意目录删除/任意文件读取漏洞。 CVE-2022-40...

02月27日24 views评论

阅读全文

安全博客

用CodeQL分析漏洞_CVE-2022-42889

Apache Commons Text 是专门用来处理文本的一个库，据文档介绍其支持变量插值。在1.5 - 1.9版本默认支持”script”类型的插值，于是可以造成任意代码执行，也就是CVE-202...

02月27日22 views评论

阅读全文

安全博客

Spring Framework 代码执行(CVE-2010-1622)

Spring Framework 通过内省实现了参数绑定，可以将HTTP请求中的请求参数或者请求体内容，根据 Controller方法的参数，自动完成类型转换和赋值，导致可以覆盖classLoader...

02月27日18 views评论

阅读全文

GISEC 2025｜华为联合IEEE面向中东地区发布星河AI融合SASE解决方案白皮书

综述合辑 | 《网络空间安全科学学报》综述论文（上）

通达OA 任意用户登录漏洞

Weblogic IIOP 反序列化漏洞学习笔记(CVE-2020-2551)

Python 定制QQ机器人

RocketMQ 5.1.1写计划任务RCE

Nacos Raft Hessian反序列化漏洞分析

Tabby学习笔记 & Java反序列化gadget分析

Apache Jena 代码执行漏洞(CVE-2023-22665)

Apache Archiva 任意目录删除(CVE-2022-40309) 和任意文件读取(CVE-2022-40308)

用CodeQL分析漏洞_CVE-2022-42889

Spring Framework 代码执行(CVE-2010-1622)

在线咨询

微信