发表的所有文章 | CN-SEC 中文网

安全工具

Apache Tomcat 远程命令执行(CVE-2025-24813)

0x01 工具介绍 Apache Tomcat 是一个开源的 Java Servlet 容器，广泛用于运行基于 Java 的 Web 应用程序。该漏洞（CVE-2025-24813）允许远程攻击者通过...

03月17日21 views评论

阅读全文

安全文章

探索SSTI漏洞：模板注入原理与绕过方法|挖洞技巧

0x01 前言模板注入（SSTI）是Web安全中常被忽视的高危漏洞，常见于Flask、ThinkPHP、Spring等基于MVC架构的框架。当用户输入未经验证直接传入模板引擎时，攻击者可通过构造恶意参...

03月17日28 views评论

阅读全文

移动安全

安卓逆向 APK双开、汉化、软件图标修改的实战案例分享

1.应用双开方法一：np管理器修改包名 1.这里以某记账app为例，对其进行应用双开，选择的方案是修改包名2.使用了np管理器，功能中选择apk共存，修改包名。 3.然后把查看并安装修...

03月17日13 views评论

阅读全文

安全闲碎

一次免费AI文字生图经历

我不属于追赶AI浪潮的人，确实心态不同于20岁时。个人聚焦比较单一，主要关注AI在二进制逆向工程方向的助力效果。像AI文字生图这种事儿，我是真没太多兴趣，也用不起。关于AI，日常比较关注「宝玉」、「黄...

03月17日3 views评论

阅读全文

开源软件最佳实践和供应链风险管理

1摘要本报告概述并评估了在各种组织环境中管理和降低与开源软件（OSS）相关的风险的有效策略。它提供了来自各种来源（包括国家政府、行业标准、现有实践和正式标准机构）的指南的详细概述。该报告最后提出了一组...

03月17日供应链安全17 views评论

阅读全文

安全新闻

十亿台设备使用的蓝牙芯片中发现未记录的命令后门

截至 2023 年，由 Espressif 制造生产的大量的 ESP32 微芯片已被超过 10 亿台设备使用，其中包含可用于攻击的未记录命令。未记录的命令允许欺骗受信任的设备、未经授权的数据访问、转向...

03月17日23 views评论

阅读全文

程序逆向

探索现代 Windows 内核堆

【翻译】0x03 - Approaching the Modern Windows Kernel Heap在 Windows 7 (x86) 上利用 UaF 漏洞后，我们已经对这种漏洞的工作原理有了深...

03月17日7 views评论

阅读全文

安全文章

记一次双向认证绕过

前言某次金融App测试，进行抓包时发现只能抓到请求包，不进行抓包是可以正常使用的，推测使用了双向认证，第一次遇到，折腾了好久终于绕过去了，简单记录一下解决过程。0X01抓包分析单向校验：客户端校验服务...

03月17日5 views评论

阅读全文

安全百科

Web篇 | 一文掌握Java反序列化漏洞上

大纲序列化和反序列化的含义和用途：这里的Java对象可以理解为我们的数据结构。 (1) 序列化：把对象转化为可传输的字节序列过程称为序列化。 (2) 反序列化：把字节序列还原为对象的过程称为反序...

03月17日27 views评论

阅读全文

安全文章

C3P0 反序列化链 & 不出网利用

C3P0 反序列化链 & 不出网利用前言看一下目录:声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。分析过程ysoseri...

03月17日9 views评论

阅读全文

安全新闻

《民用机场勘测规范(征)》发布，明确要求采用国密算法保护数据

2025年3月6日，中国民航局机场司发布关于征求《民用机场勘测规范（征求意见稿）》（以下简称“规范”）意见的函，本规范是对 2011 年发布的行业标准《民用机场勘测规范》（MH/T 5025-2011...

03月17日11 views评论

阅读全文

安全工具

工具 | Upload_Auto_Fuzz

注：仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。0x00 简介Upload_Auto_Fuzz是一款文件上传漏洞检测的BurpSu...

03月17日24 views评论

阅读全文

Apache Tomcat 远程命令执行(CVE-2025-24813)

探索SSTI漏洞：模板注入原理与绕过方法|挖洞技巧

安卓逆向 APK双开、汉化、软件图标修改的实战案例分享

一次免费AI文字生图经历

开源软件最佳实践和供应链风险管理

十亿台设备使用的蓝牙芯片中发现未记录的命令后门

探索现代 Windows 内核堆

记一次双向认证绕过

Web篇 | 一文掌握Java反序列化漏洞上

C3P0 反序列化链 & 不出网利用

《民用机场勘测规范(征)》发布，明确要求采用国密算法保护数据

工具 | Upload_Auto_Fuzz

在线咨询

微信