Groovy 链分析前言Groovy1 @frohoff groovy:2.3.9一条 RCE 链, 先对 Groo...
06月18日30 views评论eval
loader
某优化版PHP九国语言交易所存在前台任意文件读取
点击上方蓝字关注我们 并设为星标0x00 前言项目编号 : 10035 内部编号:XY-101725某优化版PHP九国语言交易所系统源码/秒合约交易源码/币币合约/c2c/质押投资,前端uni-app...
06月18日35 views评论curl
任意文件读取
fastjson<=1.2.68 漏洞分析
去年写的文章,没发出来,给公众号增加点内容,也留点笔记 写在前面自2017年3月15日 fastjson 1.2.24版本被爆出反序列化漏洞以来,其就成为了安全人员中的重 点研究对象,即使后来 fas...
06月15日43 views评论fastjson
反序列化
代码审计-反序列化CC链
1、首先已知恶意接口类Transformer、查看他的实现类,使用Crtl+H2、查看InvokerTransformer类,在该类发现到如下问题代码,反射调用传入的任意类方法,该方法源码如下所示。明...
06月13日26 views评论代码审计
反序列化
一文攻克小白噩梦:Java Web安全之代码审计
前言 很多同学反馈代码审计在学习过程经常让人十分头痛,本文总结了java代码审计的思路以及常见的漏洞。一.何为代码审计 通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序自身中存在...
06月13日33 views评论代码审计
修复方案
国外某数据库管理系统存在前台任意文件上传漏洞 (CVE-2025-5840)
点击上方蓝字关注我们 并设为星标0x00 前言客户数据库管理系统 (CDMS) 是一种功能强大且必不可少的工具,旨在 以集中和结构化的方式存储、管理和组织客户或客户信息。该系统使企业能够有效地处理客户...
06月12日51 views评论conn
escape
代码审计某USDT寄售买卖平台系统
免责声明:本公众号所提供的文字和信息仅供学习和研究使用,不得用于任何非法用途。我们强烈谴责任何非法活动,并严格遵守法律法规。读者应该自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公...
06月12日25 views评论thinkphp
代码审计
记一次对某博客系统登录认证缺陷的代码审计
项目介绍MyBlog是由SpringBoot+Mybatis+Thymeleaf等技术实现的Java博客系统,页面美观、功能齐全、部署简单及完善的代码,适合个人开发者、小型团队或教育机构使用,其灵活性...
06月12日21 views评论example
代码审计
AKun Wallpaper 代码审计——实战分析(二)
前言▶ 经过了一个寒假的沉淀,大家在年龄上增长一岁,安全技术方面有没有也增长一大截呢?新的一学期,我们继续为大家带来每周一次的技术分享,希望热爱安全的小伙伴们能从中受益!▶ 在上一期我们已经介绍了...
06月11日27 views评论xss
代码审计
如何从零开始分析调试开源软件RCE?
前言开源产品RCE年年有,今年特别多。很多同学可能都有过这样一种困惑,即面对完全未知或者不是很熟悉的的开源产品的RCE时,不知道该如何下手去分析。本篇文章中,笔者将以最近的Spring Cloud G...
06月11日29 views评论gateway
rce
【技术分享】Java安全之Commons Collections5分析
0x00 前言在后面的几条CC链中,如果和前面的链构造都是基本一样的话,就不细讲了,参考一下前面的几篇文。在CC5链中ysoserial给出的提示是需要JDK1.8并且SecurityManager需...
06月11日26 views评论collection
管理器
java安全学习-jdk17绕过反射限制
jdk17绕过反射限制 今天看文章的时候看到一篇是在jdk17版本下的反射绕过,自己之前没了解过,细细读了一下觉得有必要记录一下。 JDK9 模块化 Java模块化主要是用来解决依赖的问题,以及给原生...
06月11日29 views评论jdk
模块化
196