安全开发 - 第 62 | CN-SEC 中文网

安全博客

XStream反序列化

XStream反序列化XStream简介XStream是一个简单的基于Java库，Java对象序列化到XML，反之亦然(即：可以轻易的将Java对象和xml文档相互转换)。反序列化基本原理XStrea...

10月29日10 views评论

阅读全文

安全博客

SnakeYAML实现Gadget探测

SnakeYAML实现Gadget探测@Y4tacker思路来源今天在学习SnakeYAML的反序列化的时候，想到一个新的探测payload，网上之前有一个SPI那个链子可以有通过URLClasslo...

10月29日8 views评论

阅读全文

安全博客

SnakeYAML反序列化及可利用Gadget

SnakeYAML反序列化及可利用GadgetSnakeYaml简介YAML是”YAML Ain’t a Markup Language”（YAML不是一种标记语言）的递归缩写，是一个可读性高、用来表...

10月29日8 views评论

阅读全文

代码审计

SpringCloud-SnakeYAML-RCE

SpringCloud-SnakeYAML-RCE利用条件Ps：支持/env的post的好像必须要springCloud，springBoot我怎么都不可以搜了网上一堆也不行，有大佬知道可以说说为什么...

10月28日5 views评论

阅读全文

安全博客

低版本SpringBoot-SpEL表达式注入漏洞复现分析

低版本SpringBoot-SpEL表达式注入漏洞复现分析影响版本SpringBoot 1.1.0-1.1.12SpringBoot 1.2.0-1.2.7SpringBoot 1.3.0利用条件是使...

10月28日12 views评论

阅读全文

代码审计

白盒审计超详细DolphinPHP_V1.5.0 RCE漏洞分析及复现

漏洞影响：V1.5.0源码下载：https://github.com/caiweiming/DolphinPHP/releases环境搭建参考文章：https://segmentfault.com/a...

10月28日26 views评论

阅读全文

安全开发

一文带你看懂Golang最新特性

作者：腾讯PCG代码委员会经过十余年的迭代，Go语言逐渐成为云计算时代主流的编程语言。下到云计算基础设施，上到微服务，越来越多的流行产品使用Go语言编写。可见其影响力已经非常强大。一、Go语言发展历史...

10月28日18 views评论

阅读全文

安全开发

15 个短代码，检验Python 基本功

实际上，很多人选择学习 Python 的首要原因是其编程的优美性，用它编码和表达想法非常自然。此外，Python 的编写使用方式有多种，数据科学、网页开发、机器学习皆可使用 Python。Quora、...

10月28日26 views评论

阅读全文

代码审计

静态路由介绍

静态路由是一种手动配置的路由方法，由网络管理员手动设置路由条目到路由表中。静态路由不同于动态路由协议，后者依赖路由协议自动发现和维护路由信息。静态路由通常用于小型网络或作为备份路径，因为其配置和维护相...

10月28日24 views评论

阅读全文

代码审计

11.Json.Net反序列化点（前篇）以及XamlImageInfo、GetterSecurityException相关链

1.Json.Net的使用首先还是一个没有序列化特性的类然后进行序列化，注意这里的两个序列化操作，一个就是完全普通的序列化，还有一个在序列化时SerializeObject方法的第二个参数传入Json...

10月28日15 views评论

阅读全文

代码审计

泛微OA E-cology（CNVD-2019-32204）远程命令执行漏洞复现分析及批量检测工具

漏洞描述 2019年9月17日泛微OA官方更新了一个远程代码执行漏洞补丁, 泛微e-cology OA系统的Java Beanshell接口可被未授权访问, 攻击者调用该Beanshell接口, 可构...

10月28日114 views评论

阅读全文

安全开发

Go语言下的伪装者如何实现悄无声息地隐私盗窃

近期，火绒工程师在日常关注安全动态时发现，Lumma Stealer 木马家族会利用 Go 语言编写注入器，通过 AES 解密创建傀儡进程并注入恶意代码窃取用户信息，其中恶意代码经过控制流混淆、常量加...

10月28日13 views评论

阅读全文

XStream反序列化

SnakeYAML实现Gadget探测

SnakeYAML反序列化及可利用Gadget

SpringCloud-SnakeYAML-RCE

低版本SpringBoot-SpEL表达式注入漏洞复现分析

白盒审计超详细DolphinPHP_V1.5.0 RCE漏洞分析及复现

一文带你看懂Golang最新特性

15 个短代码，检验Python 基本功

静态路由介绍

11.Json.Net反序列化点（前篇）以及XamlImageInfo、GetterSecurityException相关链

泛微OA E-cology（CNVD-2019-32204）远程命令执行漏洞复现分析及批量检测工具

Go语言下的伪装者如何实现悄无声息地隐私盗窃

在线咨询

微信