点击蓝字,关注我们 一、什么是JNDI JNDI(Java Naming and Directory Interface)是一种应用程序编程接口(API),它为使用Java编程语言编写的应用程序提供命...
结合实例深入理解C++对象的内存布局
作者:daemonzhao 通过实例来深入理解 C++ 对象的内存布局,包括基础数据类、带方法的类、私有成员、静态成员、类继承等。通过 GDB 查看对象的内存布局,探讨成员变量、成员方法...
最全详细的反序列化攻击知识梳理
声明:以下内容仅供学习参考,切勿进行非授权的网络攻击行为。本文图片从本地文件加载上,需要完整Web方向文档可在社区或公众号索取。 1. 理解序列化和反序列化 要学习PHP反序列漏洞,先了解下PHP序列...
使用anon_vma_name进行Linux内核堆喷
TLDR prctl PR_SET_VMA (PR_SET_VMA_ANON_NAME) 可以作为一种针对 kmalloc-8 到 kmalloc-96 缓存的可能新的堆喷射(heap spray)方...
记某大学的一次EduSRC的挖掘
本文由掌控安全学院 - routing 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x1 前言 漏洞由来简述 首先讲下这个漏洞的由来吧,这类...
揭秘PHP反序列化漏洞-入门:黑客是如何入侵你的网站的?
揭秘PHP反序列化漏洞--入门:黑客是如何入侵你的网站的?什么是反序列化?-格式转换(无非就是将数组或者字符串格式转换成对象)序列化serialize()class S{ &nbs...
CVE-2024-21378 微软outlook RCE漏洞分析
漏洞概述 这种攻击的原始变体由SensePost(Orange CyberDefense)的Etienne Stalmans在2017年记录,并利用Outlook表单对象中的VBScript代码以获得...
铁路行业网络安全等级保护定级及监督检查研究
网络安全等级保护制度的实施对保护国家重要信息资产、防止网络攻击和信息泄露,发挥了重要作用。铁路网络根据自身的特点不断推进网络安全等级保护的定级、备案及监督检查等相关工作。然而,由于其网络繁杂、多样,检...
国内2000多家企业遭高级勒索团伙攻击投毒
电信安全水滴实验室狩猎追踪发现,在2024年4月至5月,境外高级勒索团伙疑似利用30多款产品的漏洞攻击中国境内数据中心、外贸、医药、金融等行业的2000多个企业/部门。通过对事件单位(攻击对象)现场排...
JavaScript原链型污染详解
前言 本文为玲珑安全原创,未经授权不可转载。请进行合法的渗透测试,玲珑安全公众号、芳华绝代安全团队公众号及文章作者不承担任何因利用本文分享的内容而造成的任何后果。 漏洞原理 在 JavaScript ...
原型污染:JavaScript 中的隐患
原型污染是一种漏洞,当攻击者可以操纵或将属性注入对象的原型时就会出现这种漏洞。在 JavaScript 中,对象从其原型继承属性。Object.Prototype 是所有其他对象派生自的父对象。如果我...
Java代码审计--反射
简介java的反射就是在程序运行中动态的创建对象,并且和new不同的是,反射创建对象不需要考虑访问权限,可以直接查看类的私有属性以及调用私有方法,并且new创建对象时在编译时期将对象的.class加载...