admin 发表的所有文章 | CN-SEC 中文网

安全文章

挖洞小记 | 记一次拿下某软柿子证书站过程！

免责声明由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，WK安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉...

04月25日18 views评论

阅读全文

Spring MVC + FastJSON：反序列化攻击是怎么一步步发生的？

🧠 Spring MVC 是怎么悄咪咪地调用了 FastJSON 来反序列化的？🌟 一句话总结：你只写了一句 @RequestBody Object data，Spring 就自动帮你用 FastJS...

04月25日代码审计13 views评论

阅读全文

安全闲碎

G.O.S.S.I.P 阅读推荐 2025-04-24 穿越时间迷雾

时间永远是最难以捉摸的东西，即使在安全研究领域，时间的流逝也会改变安全的假设。今天我们介绍的这篇USENIX Security 2025会议论文Lost in the Mists of Time: E...

04月25日8 views评论

阅读全文

FastJSON + MQ 实现反序列化漏洞攻击链

🚨 利用 FastJSON + MQ 实现反序列化漏洞攻击链在现代微服务架构中，消息中间件（如 Kafka、RocketMQ、RabbitMQ）被广泛用于服务解耦与异步通信。然而，这也带来了新的攻击面...

04月25日代码审计10 views评论

阅读全文

渗透测试 FastJSON 是个延时炸弹？

💥 为什么 FastJSON 漏洞不是在 parse() 阶段触发，而是在 toString() 等方法中爆发？在渗透测试中，FastJSON 的反序列化漏洞是一个“老面孔”了。但很多新手刚开始接触时...

04月25日安全文章15 views评论

阅读全文

安全文章

HTB - BigBang

关注公众号夜风Sec，持续分享各种工具&学习记录，与师傅共同进步:)信息收集nmapnmap --min-rate 10000 -A 10.10.11.52PORT STATE SERVI...

04月25日20 views评论

阅读全文

安全漏洞

DataEase H2 JDBC远程代码执行漏洞CVE-2025-32966

漏洞描述:DataEase是Tableau的开源BI工具替代品,在版本2.10.8之前,经过身份验证的用户可以通过后端JDBC链接完成RCE,此问题已在版本2.10.8中修复,DataEase是开源的...

04月25日51 views评论

阅读全文

安全工具

Godzilla_collection（免杀）

0x01 工具介绍哥斯拉反编译源码---Godzilla_native_refile 哥斯拉改编asp、java、php、cshap木马免杀版---Godzilla_native_refile.ja...

04月25日19 views评论

阅读全文

安全工具

AI基础设施安全评估系统

0x01 工具介绍 AI Infra Guard(AI Infrastructure Guard) 是一个高效、轻量、易用的AI基础设施安全评估工具，专为发现和检测AI系统潜在安全风险而设计。注意：...

04月25日13 views评论

阅读全文

安全文章

【Web攻防】某次攻防演练官网首页Ueditor绕过到打穿内网出局

前言记某次攻防演练中，通过官网直接拿下靶标复盘经验总结。正文拿到目标单位名称，平时日常思路都是找子公司、下属控股、旁站等测试，均无果。心灰意冷时，意外打开目标官网插件发现存在百度Ueditor编辑器。...

04月25日15 views已关闭评论

阅读全文

安全文章

泛微云桥20240725存在未授权文件上传fileUploadForCowork_fileUpload

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢...

04月25日12 views评论

阅读全文

安全闲碎

浏览器为何成为拦截钓鱼攻击的最佳防线：三大核心优势

2025年，钓鱼攻击仍是企业面临的主要安全威胁。随着攻击者更多采用基于身份认证的技术而非软件漏洞利用，钓鱼攻击的危害性甚至超过以往。攻击者正转向基于身份的攻击手段，钓鱼与凭证窃取（钓鱼的副产品）已成为...

04月25日6 views评论

阅读全文

admin

挖洞小记 | 记一次拿下某软柿子证书站过程！

Spring MVC + FastJSON：反序列化攻击是怎么一步步发生的？

G.O.S.S.I.P 阅读推荐 2025-04-24 穿越时间迷雾

FastJSON + MQ 实现反序列化漏洞攻击链

渗透测试 FastJSON 是个延时炸弹？

HTB - BigBang

DataEase H2 JDBC远程代码执行漏洞CVE-2025-32966

Godzilla_collection（免杀）

AI基础设施安全评估系统

【Web攻防】某次攻防演练官网首页Ueditor绕过到打穿内网出局

泛微云桥20240725存在未授权文件上传fileUploadForCowork_fileUpload

浏览器为何成为拦截钓鱼攻击的最佳防线：三大核心优势

在线咨询

微信