漏洞简介 Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据,当使用 readObjectFromXml ...
CC链1-TransformedMap链学习
原创文章web安全渗透技术原创声明:转载本文请标注出处和作者,望尊重作者劳动成果!感谢!前言:公众号回复“20230223”,获取原格式PDF文章和相关工具。一、环境准备 1、创...
CI\CD流程上软件成分分析如何解决间接依赖问题、安全运营本质与安全有效性验证讨论、如何提升渗透测试质量... | 总第181周
0x1本周话题TOP3话题1:请问在cicd流程中进行软件成分分析的时候,大家遇到间接依赖的问题是怎么解决的?比如maven声明了当前代码使用依赖是最新的版本,间接依赖存在低版本,但是这种情况编译...
JAVA安全学习路线-4ra1n
B站许少4ra1n的java安全学习路线总结,以下是去年许少博客发的大纲,加上最近b站发的视频讲解,个人进行整理的,非常推荐大家看看,视频在文章最后,建议搭配食用!基础-1名称学习内容难度如何使用ID...
提取Maven项目SBOM的坑点
在前些年工作中,我针对Maven、Composer、Pip等主流构建工具/包管理工具写过提取SBOM的插件。如今看来,面对当下的SCA安全工作,之前写的小工具是过于肤浅了。近期测试了国内外几家厂商的S...
fastjson 1.2.47 RCE漏洞保姆级复现
1.漏洞概述Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分get...
开发Java审计辅助脚本
Dependency-Check 是一种软件组合分析 (SCA) 工具,它会检测项目依赖项中包含的公开披露的漏洞。DependencyCheck下载地址:https://github.com/jere...
jpress代码审计分享
出品|先知社区(ID:1871162774168111)声明以下内容,来自先知社区的1871162774168111作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用...
java代码审计:tmall购物网站审计
目录环境要求部署流程1、第三方组件漏洞审计什么是pom.xml2、Fortify扫描结果分析环境要求部署流程1、第三方组件漏洞审计什么是pom.xml2、Fortify扫描结果分析环境要求部署流程1、...
Text4shell| CVE-2022-42889漏洞复现
“Text4shell”背景本文展示了如何利用 Text4Shell 漏洞 (CVE-2022–42889)。为此,我将在本文中使用text4shell-poc.jar。GitHub地址: https...
美国态势感知之Maven
2017年4月,美国国防部成立了一个工作组,以推进人工智能在军事情报中的使用,这个项目就是“Maven项目”(Project Maven),也被称为算法战跨职能团队(AWCFT)。01项目简介2017...
Apache Shiro 身份验证绕过漏洞复现 (CVE-2020-11989)
Apache Shiro是一个强大且易用的Java安全框架,它可以用来执行身份验证、授权、密码和会话管理。目前常见集成于各种应用中进行身份验证、授权等。本文仅对此漏洞进行了复现,关于此漏洞的分析可以参...