简介https://mp.weixin.qq.com/s?__biz=Mzg5MjY2NTU4Mw==&mid=2247485274&idx=1&sn=4d6cd0c6a662...
Java安全相关的漏洞和技术漏洞利用Dubbo-Hessian2安全加固等等实践代码等
点击上方蓝字“Ots安全”一起玩耍Java安全相关的漏洞和技术demo,原生Java、Fastjson、Jackson、Hessian2、XML反序列化漏洞利用和Spring、Dubbo、Shiro、...
危险的上传对话框
文件对话框文件上传对话框是一直以来就存在的网页控件。到了 HTML5 时代,增加了更多的功能,例如支持文件多选。Chrome 甚至还支持「上传文件夹」这一私有特征:<input type=&qu...
java安全 fastjson反序列化基础分析
fastjson反序列化基础分析本文主要来讲解fastjson反序列化内容。依赖包如下:<dependency><groupId>com.alibaba</groupId...
盘一盘Fastjson漏洞getshell
迟来的log4j2漏洞getshell^^话不多说直接干1、漏洞描述Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定...
使用codeql自动挖掘Java反序列化gadget
0x00 背景 前两天看到一篇老外写的用codeql挖掘Java反序列化gadget的文章 https://www.synacktiv.com/en/publications/finding-gadg...
详细分析 SpringCloud GateWay SPEL RCE CVE-2022-22947
环境git clone https://github.com/spring-cloud/spring-cloud-gatewaycd spring-cloud-gatewaygit checkout ...
trickbot病毒分析
概述最近微软发布了一款Trickbot扫描器[1]该木马近期在app.any.run公开任务的提交趋势如下[2]获取一个样本[2],进行分析原始样本(doc)分析打开之后是这样的这里包含一定的社会工程...
GO 1.18 泛型的简单尝试
今天golang终于发布了1.18版本,这个版本最大的一个改变就是加入了泛型。虽然没有在beta版本的时候尝试泛型,但是由于在其他语言的泛型经验,入手泛型不是件难事~官方示例Tutorial: Get...
NTFS ADS(NTFS数据交换流) 带来的WEB安全问题
NTFS ADS带来的WEB安全问题Author:Rstar && pysolveNTFS ADS简介NTFS流全称为NTFS交换数据流(NTFS Alternate Data Str...
Python 沙箱逃逸你真的看懂了么?
Python 沙箱逃逸你真的看懂了么?python 沙箱逃逸就是在一个被严格限制了 python 执行环境中获取更高的权限,甚至 getshell ,这是我们的最终目的。但是在这之前我们需要绕过各种限...
工欲善其事必先利其器之Fastjson一键利用工具(附批量检测工具)
00序章 上次介绍过手动利用fastjson,但讲的过于太简单了。根据大家的反应,收集如下几个问题。1、如何盲打fastjson2、fastjson的指纹3、各版本...
23