CodeQL工具CodeQL是基于2019 微软收购GitHub的时候开源的一个源代码分析引擎,分析引擎是白盒代码工具的核心,有了这个引擎之后,随着网上不断迭代的支持CodeQL的queries规则库...
XETUX软件 dynamiccontent.properties.xhtml 远程代码执行
导读 主要分享学习日常中的web渗透,内网渗透、漏洞复现、工具开发相关等。希望以技术共享、交流等不断赋能自己,为网络安全发展贡献自己的微薄之力! 0x00免责声明本次测试仅供学习使用...
安全开发组件ESAPI简介
简介OWASP Enterprise Security API (ESAPI)是一个免费、开源的web应用程序安全控制库,使程序员更容易编写风险较低的应用程序。ESAPI库旨在使程序员更容易对现有应用...
详细剖析某erp漏洞
扫码领资料获网安教程深入学习Java代码审计技巧—详细剖析某erp漏洞简介对于Java代码审计,主要的审计步骤如下:确定项目技术框架、项目结构环境搭建配置文件的分析:如pom.xml、web.xml等...
烽火狼烟|Jenkins任意文件读取漏洞(CVE-2024-23897复现及分析
点击蓝字 关注我们 / Vuln's Day01·环境搭建·利用Docker环境来部署Jenkins,执行如下命令: docker pull bitnami/jenkins:2.426.2-debi...
反序列化基础之反射机制
最近在学其他东西,就把之前总结的笔记发出来吧 供大家参考!!!Java反射机制java反射机制的引入为什么要存在反射机制?如果没有反射机制那么Java这门语言就不会动态化,也就不会有所谓的Spring...
黑客利用 ColdFusion 漏洞入侵联邦机构服务器
更多全球网络安全资讯尽在邑安全 美国网络安全和基础设施安全局 (CISA) 警告称,身份不明的威胁参与者正在积极利用高严重性的 Adobe ColdFusion 漏洞来获取对政府服务器的初始访问权限。...
漏洞通告| 海康威视综合安防管理平台信息泄露
免费&进群 本文由掌控安全学院 - 江月 投稿海康威视综合安防管理平台信息泄露【产品介绍】海康威视(Hikvision)是一...
Jdbc反序列化[绕过|修复|分析]
前言此文章主要是对mysql Jdbc驱动连接过程的分析,本次分析使用的mysql-connector-java版本为8.0.14。0x01 jdbc标准流程oracle约束的jdbc建立连接的标准流...
好工具分享:渗透利器 ClassHound
利用任意文件下载漏洞自动循环下载并反编译class文件获得网站源码下载地址:https://github.com/LandGrey/ClassHound 之前遇到一个java 任意文件读取,...
Apache Dubbo反序列化漏洞(CVE-2023-23638)
网安引领时代,弥天点亮未来 0x00写在前面本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!0x01漏洞介绍Apache Dubbo...
Apache Flink代码执行漏洞。在Apache Flink中利用Apache Kafka JNDI注入(CVE-2023-
Flink-Kafka-Vul Apache Flink远程代码执行漏洞。 Apache Flink Web UI 默认没有用户权限认证,攻击者可以直接上传恶意Jar包,通过指定Kafka数据源连接属...
4