代码审计 - 第 23 | CN-SEC 中文网

代码审计

Ysoserial CC1利用链构造分析

YsoserialCC1利用链构造分析一.前言：CC链即Apache Commons Collections是Apache软件基金会的项目,Commons-Collections 试图通过提供新的接口...

02月20日12 views评论

阅读全文

代码审计

入坑Java安全之JNDI注入

声明：本公众号文章来自作者日常学习笔记或授权后的网络转载，切勿利用文章内的相关技术从事任何非法活动，因此产生的一切后果与文章作者和本公众号无关！0x00 前言最近在学习SpringMVC，刚好学到了J...

02月20日17 views评论

阅读全文

代码审计

从SpringInspector源码视角深入浅出静态代码分析技术

假设本文的读者已经有相关SpringBoot、字节码开发经验。 01分析原理市面上目前的主流白盒检测引擎估计就分为两者（之前是由正则和AST语法分析占据的），一种是基于字节码的堆栈模拟检...

02月20日30 views评论

阅读全文

代码审计

JAVA代审-publiccms_V4_2024_6

前言本篇文章首发在先知社区，作者C@ig0 (本人) 先知社区名称：caigo 转载原文链接为：https://xz.aliyun.com/news/16780 文章目录项目介绍环境搭建漏洞挖掘...

02月19日23 views评论

阅读全文

代码审计

【代码审计】php反序列化挖掘思路

0x01 前言以前因为项目需要,挖到的时候也懒的发,现在回头一看,好像自己的安全拼图少了一块,所以就补上吧 :)0x02 旅途过程0x02.1 寻找起点就像出去旅游看风景一样,挑选一个合适的城市,会让...

02月18日33 views评论

阅读全文

安全漏洞

Hoverfly 任意文件读取漏洞（CVE-2024-45388）

漏洞简介 Hoverfly 是一个为开发人员和测试人员提供的轻量级服务虚拟化/API模拟/API模拟工具。其 /api/v2/simulation 的 POST 处理程序允许用户从用户指定的文件内容中...

02月17日35 views评论

阅读全文

代码审计

DeepSeek代码审计技术解析：从模型革新到漏洞挖掘实战

隐侠们的日常：关心武林蛇年新春前后，隐侠关注到DeepSeek名声大噪，低成本AI模型的崛起时代正式到来。2025年初，中国AI企业深度求索（DeepSeek）凭借开源模型DeepSeek-V3和De...

02月17日401 views评论

阅读全文

代码审计

【技术分享】PHP序列化冷知识

一、serialize(unserialize($x))!=$x正常来说一个合法的反序列化字符串，在二次序列化也即反序列化再序列化之后所得到的结果是一致的。比如<?php$raw = 'O:1:...

02月16日29 views评论

阅读全文

代码审计

记一次项目中如何快速定位.net漏洞点

文章来源：先知社区（am0s）原文地址：https://xz.aliyun.com/t/11185 最近项目比较多，一个教育局的测试项目，主要目标为一个在线教育平台，经过信息搜集发现是一个开源的代码...

02月16日20 views评论

阅读全文

代码审计

MeterSphere 未授权RCE-代码审计

0x01 代码分析版本<=1.16.3查看修复日志https://github.com/metersphere/metersphere/pull/9135/commits/9927d2c587...

02月15日22 views评论

阅读全文

代码审计

Java安全｜和反射相关的一些小补充

前言之前写了一篇Java反射的文章，现在这篇算是一点小小的补充。正文首先先补充一下forName方法，该方法的作用是要求JVM查找并加载指定的类，也就是说JVM「会执行该类的静态代码段」。forNam...

02月15日14 views评论

阅读全文

代码审计

入坑Java安全之关于反序列化这件事

声明：本公众号文章来自作者日常学习笔记或授权后的网络转载，切勿利用文章内的相关技术从事任何非法活动，因此产生的一切后果与文章作者和本公众号无关！0x00 前言这篇文章主要就是聊聊Java反序列化，本来...

02月15日19 views评论

阅读全文

Ysoserial CC1利用链构造分析

入坑Java安全之JNDI注入

从SpringInspector源码视角深入浅出静态代码分析技术

JAVA代审-publiccms_V4_2024_6

【代码审计】php反序列化挖掘思路

Hoverfly 任意文件读取漏洞（CVE-2024-45388）

DeepSeek代码审计技术解析：从模型革新到漏洞挖掘实战

【技术分享】PHP序列化冷知识

记一次项目中如何快速定位.net漏洞点

MeterSphere 未授权RCE-代码审计

Java安全｜和反射相关的一些小补充

入坑Java安全之关于反序列化这件事

在线咨询

微信