点击蓝字关注我们日期:2023-06-12作者:Corl7介绍:记录一次对某后台管理系统的审计,使用的框架为 SpringBoot+Mybatis。0x00 前言最近在学习代码审计,为了写一篇关于代码...
JNA 调用动态链接库学习
前言听说哥斯拉利用JNA技术实现了内存加载exe、执行命令等操作,特来学习一下。JNA 基础知识JNA全称:Java Native Access,是建立在JNI(Java Native Interfa...
.NET代码审计之MVC XSS-JsonValue
星球优惠活动为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,...
实战分享 | 记一次较为详细的代码审计过程
前言本次审计的话是Seay+昆仑镜进行漏洞扫描Seay的话它可以很方便的查看各个文件,而昆仑镜可以很快且扫出更多的漏洞点,将这两者进行结合起来,就可以发挥更好的效果。昆仑镜官方地址https://gi...
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
漏洞原理1.啥是json?json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。举个简单的例子如下:{ ...
【Java框架审计】Shiro框架550反序列化漏洞分析
本文章视频讲解链接:https://www.bilibili.com/video/BV1Vu4y1o7Qi/?spm_id_from=333.999.0.0&vd_source=16d23ba...
【高危】 Apache Kafka 远程代码执行漏洞复现及攻击拦截 (CVE-2023-25194)
漏洞简介 Apache Kafka是一个分布式数据流处理平台,可以实时发布、订阅、存储和处理数据流。Kafka Connect是一种用于在kafka和其他系统之间可扩展、可靠的流式传输数据的工具。攻击...
Java反序列化漏洞研究前序: Transformer、动态代理与注解
扫码领资料获网安教程免费&进群2022-01-30今年给自己定了一个研究清楚Java反序列化漏洞的KPI,反序列化漏洞本身原理并不复杂,但是网上的资料都不甚满意,大部分都是只是知道怎么用别人的...
安全工具 fscan 源码分析
fscan源码学习 免责声明:本公众号所提供的文字和信息仅供学习和研究使用,不得用于任何非法用途。我们强烈谴责任何非法活动,并严格遵守法律法规。读者应该自觉遵守法律法规,不得利用本公众号所提供的信息从...
九维团队-绿队(改进)| java 反射机制(下)
阅读该文章上半部分请点击九维团队-绿队(改进)| java 反射机制(上)。 六、获取继承关系 获取父类 class 和 interface import java.util.Arrays; publ...
nacos漏洞(CNVD-2023674205)复现&踩坑记录
3月2日,CNVD披露了编号为CNVD-2023674205的nacos认证绕过漏洞在nacos官方github项目(https://github.com/alibaba/nacos)发布2.2.0....
【A9】Fastjson反序列化漏洞原理
“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”...
128