0x01 阅读须知融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统...
一些常用的内存马整理
免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
浅谈 URL 解析与鉴权中的陷阱
最近一段时间都在审计 Java 代码,也算是积累了一些各式各样小技巧,但总感觉不够体系化。因此有必要先停下来,跳出业务逻辑并后退一步,更加深入地思考一下漏洞背后的成因。 前言 说到 URL 解析,想必...
java代码审计基础学习笔记分享(一)
# 以下内容仅为个人学习小迪安全课程自己记录的笔记,文章仅用于学习交流安全技术使用,因为自己是用obsidian md格式记录,用的在线网址md转公众号文章,所以排版可能有点问题,各位师傅们见谅。Se...
Fuzzing 在 Java 漏洞挖掘中的应用
前段时间 ecology 密集发布了一系列补丁,修复几个笔者之前储备的 0day,本文就来介绍其中一个列比较有意思的,以及分享一下相关的挖掘思路。背景最近几个月笔者都在研究 Java Web 方向,一...
白盒白名单SQL注入绕过利用
前 言看到标题的第一反应,大家可能感觉本文讲的是一些老套数,比如select/*xasdasdsa*/等等垃圾字符绕过,在平时代码审计项目中,遇到了很多白名单过滤,现实情况就是,根本不允许使用特定语句...
【高危漏洞】CVE-2023-41080-Apache Tomcat的表单身份验证存在重定向漏洞
漏洞早知道 漏洞名称:CVE-2023-41080-Apache Tomcat的表单身份验证存在重定向漏洞 漏洞出现时间:2023年8月25日 影响等级:高危 影响版本: Apache Tomcat ...
用友-时空KSOA Taskrequestservlet sql注入复现
一、产品描述 用友时空KSOA是建立在SOA理念指导下研发的新一代产品,是根据流通企业最前沿的I需求推出的统一的IT基础架构,它可以让流通企业各个时期建立的IT系统之间彼此轻松对话,帮助流通企业保护原...
java代码审计之常见漏洞学习
获黑客教程免费&进群前言Java代码审计中常见的一些漏洞学习总结以及一些审计思路。java项目分层视图层(View 视图)控制层(Controller、Action控制层)服务层(Servic...
用友NC远程命令执行
曾子曰:“吾日三省吾身:为人谋而不忠乎?与朋友交而不信乎?传不习乎?”漏洞复现访问漏洞url:/servlet/~ic/bsh.servlet.BshServlet在该界面可命令执行。文笔生疏,措辞浅...
23HW-0Day(漏洞检测Tools)V1.4
工具简介为更好帮助师傅们进行安全自查检测,银遁安全团队编写了一款最新公开漏洞的检测工具该工具目前包含收录了最新公开的23个漏洞POC 或 EXP 2023/8/16 ...
浅析白盒白名单SQL注入绕过利用
前 言 看到标题的第一反应,大家可能感觉本文讲的是一些老套数,比如select/*xasdasdsa*/等等垃圾字符绕过,在平时代码审计项目中,遇到了很多白名单过滤,现实情况就是,根本不允许使用特定语...