“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”...
03月18日9 views评论javascr
javascript
原型污染漏洞的简析及利用
03月18日9 views评论javascr
javascript
03月18日9 views评论javascr
javascript
软件安全评估之软件漏洞基础
零 基础概念 在软件安全的语境中,漏洞是指软件中的具体缺陷或疏忽,能够被攻击者利用并执行一些恶意行为,例如泄露或修改敏感信息、干扰或销毁系统、接管计算机系统或程序权限等等。 安全漏洞(Vulnerab...
03月15日6 views评论安全性
安全策略
干货 | 通过实时调试,让AI编写有效的UI自动化
作者简介Thales Fu,携程高级研发经理,致力于寻找更好的方法,结合AI和工程来解决现实中的问题。引言在快速迭代的软件开发周期中,用户界面(UI)的自动化测试已成为提高效率和确保产品质量的关键。然...
03月15日7 views评论自然语言
非技术
某OA 0day审计分析
前言 本次审计的是一套Yii框架开发的OA系统,算是小0day吧,由于尚未公开,大部分都是厚码。 本篇文章由星盟安全团队成员@Zjacky师傅投稿,博客地址为https://zjackky.githu...
03月15日17 views评论oa
文档
恶意PDF生成器
#################### 免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及...
03月14日安全开发11 views评论burp
py
『代码审计』ysoserial CB1 无依赖反序列化利用链分析
点击蓝字,关注我们日期:2024-03-11作者:ICDAT介绍:这篇文章主要是对 ysoserial CB1 的无依赖反序列化无利用链进行分析。0x00 前言我们上一篇文章分析了ysoserial中...
03月13日9 views评论代码审计
反序列化
JAVA安全JNDI注入之dnslog数据外带
今天审计的时候遇到了log4j,简单分享一下jndi注入之dnslog数据外带啵简介log4j处理${}是采用递归方式解析,大概意思就是有几个${}表达式,lookup也就解析几个,所以可以配合dns...
03月13日7 views评论jndi
logj
Python写一键启动工具
一键快速启动常用程序:如果您经常使用一组特定的程序,可以将它们添加到配置文件中,并保存配置。这样,每次打开程序启动器时,只需加载配置即可快速启动常用的程序 代码: import os import t...
03月13日7 views评论button
winapi
CVE-2023-49442 利用分析
1. 漏洞介绍 JEECG(J2EE Code Generation) 是开源的代码生成平台,目前官方已停止维护。JEECG 4.0及之前版本中,由于/api接口鉴权时未过滤路径遍历,攻击者可构造包含...
03月12日20 views评论fastjson
parse
代码审计工具编写
hw结束以后就花了12天左右去一个写java静态分析审计kit,结果完成的不咋地,把当时的思路想法分享一下,大家感兴趣的可以看看,集思广益。思路碰撞工具产生动机:之前分析泛微oa漏洞,发现一些漏洞成因...
03月11日21 views评论函数调用
思路
.NET 反序列化Xunit1Executor漏洞分析
01 Xunit1Executor漏洞复现 Xunit.Net 是一款 .NET平台免费开源的单元测试框架,常用于并行测试和数据驱动测试。目前支持 .Net Framework、.Net Core、....
03月10日6 views评论net
反序列化
Java实战篇-XXE漏洞利用从潜到深
目标经典渗透场景 - 登录框(授权合法渗透)初步挖掘发现某JSP路径返回包泄露了代码信息,且疑似存在XXE漏洞通过泄露的代码构造出post请求包测试,漏洞存在Poc:<?xml version=...
03月09日26 views评论xxe
漏洞利用
306