admin 发表的所有文章 | CN-SEC 中文网

FastJSON + MQ 实现反序列化漏洞攻击链

🚨 利用 FastJSON + MQ 实现反序列化漏洞攻击链在现代微服务架构中，消息中间件（如 Kafka、RocketMQ、RabbitMQ）被广泛用于服务解耦与异步通信。然而，这也带来了新的攻击面...

04月25日代码审计10 views评论

阅读全文

渗透测试 FastJSON 是个延时炸弹？

💥 为什么 FastJSON 漏洞不是在 parse() 阶段触发，而是在 toString() 等方法中爆发？在渗透测试中，FastJSON 的反序列化漏洞是一个“老面孔”了。但很多新手刚开始接触时...

04月25日安全文章16 views评论

阅读全文

安全文章

HTB - BigBang

关注公众号夜风Sec，持续分享各种工具&学习记录，与师傅共同进步:)信息收集nmapnmap --min-rate 10000 -A 10.10.11.52PORT STATE SERVI...

04月25日20 views评论

阅读全文

安全漏洞

DataEase H2 JDBC远程代码执行漏洞CVE-2025-32966

漏洞描述:DataEase是Tableau的开源BI工具替代品,在版本2.10.8之前,经过身份验证的用户可以通过后端JDBC链接完成RCE,此问题已在版本2.10.8中修复,DataEase是开源的...

04月25日52 views评论

阅读全文

安全工具

Godzilla_collection（免杀）

0x01 工具介绍哥斯拉反编译源码---Godzilla_native_refile 哥斯拉改编asp、java、php、cshap木马免杀版---Godzilla_native_refile.ja...

04月25日20 views评论

阅读全文

安全工具

AI基础设施安全评估系统

0x01 工具介绍 AI Infra Guard(AI Infrastructure Guard) 是一个高效、轻量、易用的AI基础设施安全评估工具，专为发现和检测AI系统潜在安全风险而设计。注意：...

04月25日14 views评论

阅读全文

安全文章

【Web攻防】某次攻防演练官网首页Ueditor绕过到打穿内网出局

前言记某次攻防演练中，通过官网直接拿下靶标复盘经验总结。正文拿到目标单位名称，平时日常思路都是找子公司、下属控股、旁站等测试，均无果。心灰意冷时，意外打开目标官网插件发现存在百度Ueditor编辑器。...

04月25日15 views已关闭评论

阅读全文

安全文章

泛微云桥20240725存在未授权文件上传fileUploadForCowork_fileUpload

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢...

04月25日12 views评论

阅读全文

安全闲碎

浏览器为何成为拦截钓鱼攻击的最佳防线：三大核心优势

2025年，钓鱼攻击仍是企业面临的主要安全威胁。随着攻击者更多采用基于身份认证的技术而非软件漏洞利用，钓鱼攻击的危害性甚至超过以往。攻击者正转向基于身份的攻击手段，钓鱼与凭证窃取（钓鱼的副产品）已成为...

04月25日7 views评论

阅读全文

安全工具

【工具推荐】一款图形化Windows应急工具

免责声明本文旨在提供有关特定漏洞工具或安全风险的详细信息，以帮助安全研究人员、系统管理员和开发人员更好地理解和修复潜在的安全威胁，协助提高网络安全意识并推动技术进步，而非出于任何恶意目的。利用本文提到...

04月25日29 views评论

阅读全文

安全文章

微软哭晕！Sharp4BypassWDAC「秒禁」Windows Defender必藏技巧！

在Windows操作系统中，Windows Defender 应用程序控制（WDAC）已成为重要的安全防御机制。WDAC 是随着 Windows 10 和 Windows Server 2016 引...

04月25日22 views评论

阅读全文

安全新闻

五重勒索-勒索病毒黑客组织最新玩法揭密

安全分析与研究专注于全球恶意软件的分析与研究前言概述最近几年勒索病毒已经席卷全球，全球范围内越来越多的政府、企业，组织机构等受到勒索病毒黑客组织的攻击，几乎每天都有企业被勒索病毒攻击的新闻被曝光，可能...

04月25日16 views评论

阅读全文

admin

FastJSON + MQ 实现反序列化漏洞攻击链

渗透测试 FastJSON 是个延时炸弹？

HTB - BigBang

DataEase H2 JDBC远程代码执行漏洞CVE-2025-32966

Godzilla_collection（免杀）

AI基础设施安全评估系统

【Web攻防】某次攻防演练官网首页Ueditor绕过到打穿内网出局

泛微云桥20240725存在未授权文件上传fileUploadForCowork_fileUpload

浏览器为何成为拦截钓鱼攻击的最佳防线：三大核心优势

【工具推荐】一款图形化Windows应急工具

微软哭晕！Sharp4BypassWDAC「秒禁」Windows Defender必藏技巧！

五重勒索-勒索病毒黑客组织最新玩法揭密

在线咨询

微信