安全开发 - 第 71 | CN-SEC 中文网

代码审计

Java安全之URLDNS链分析

Java安全之URLDNS链分析前言今天来复习一下URLDNS这条链，水一篇文章吧。也弥补了Java安全系列的入门必学的一个利用链的文章的空白。URLDNS链本身不能执行命令，多用于构造 DNS 操作...

10月18日17 views评论

阅读全文

安全开发

JAVA安全之Thymeleaf模板注入检测再探

文章前言从之前的文章中我们分析后发现Thymeleaf 3.0.15版本中只要检测到"{"就会认为存在表达式内容，随后直接抛出异常停止解析来防范模板注入问题，此类场景用于我们URL PATH、Retr...

10月18日12 views评论

阅读全文

代码审计

Java反序列化之 CC1 链从0到1

声明：本篇文章作者YDJA，本文属i春秋原创奖励计划，未经许可禁止转载。https://bbs.ichunqiu.com/thread-63612-1-1.html0x00 前言承接上文的 URLDN...

10月17日17 views评论

阅读全文

代码审计

JAVA_Fastjson

0x00前言Fastjson 是 Alibaba 开发的 Java 语言编写的高性能 JSON 库，用于将数据在 JSON 和 Java Object 之间互相转换提供两个主要接口来分别实现序列化和反...

10月16日18 views评论

阅读全文

安全开发

使用 Python 扩展 IDA 的功能：反汇编 Xtensa 指令的实际示例

在逆向工程过程中，您可能会遇到可用工具尚不支持您正在使用的架构的情况。在本文中，我们将探讨这样的案例并展示扩展 IDA 功能的示例。我们探索如何实现 IDA 插件来反汇编新的 Xtensa 指令。为什...

10月16日47 views评论

阅读全文

代码审计

PHP反序列化漏洞总结

漏洞成因开发者为了以某种存储形式使自定义对象持久化同时实现将对象从一个地方传递到另一个地方通常会在程序中引入序列化和反序列化两种操作。但是如果程序未对用户输入的序列化字符串进行检测，导致攻击者可以控制...

10月16日24 views评论

阅读全文

代码审计

慢雾：Compound Finance V2 安全审计手册

引言随着 DeFi 生态系统的迅速发展，Compound Finance V2 作为该领域的先驱者之一，凭借其创新的借贷模式吸引了大量用户。然而，任何复杂的分布式应用都面临着潜在的安全威胁，尤其是涉及...

10月16日21 views评论

阅读全文

代码审计

jackson 反序列化全文解析

pom.xml： <dependency> <groupId>com.fasterxml.jackson.core</groupId&...

10月16日37 views评论

阅读全文

代码审计

Java攻防基础之Commons-Collections1分析

前言在CC链的前置基础学习完后，就可以开始学习CC链的具体执行流程。CC链分析先来看下poc代码import org.apache.commons.collections.*;import org.a...

10月16日13 views评论

阅读全文

代码审计

Java安全-深度剖析内存马&上篇

🌟 ❤️作者：yueji0j1anke首发于公号：剑客古月的安全屋字数：5721阅读时间: 15min声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或...

10月16日18 views评论

阅读全文

代码审计

2.BinaryFormatter反序列化点+几个链子

1.关于BinaryFormatter其实非要说的话，BinaryFormatter才是.NET里最经典的序列化与反序列化相关类，从名字就可以看出来，这玩意大概是用来把对象序列化成二进制数据或者把二进...

10月16日13 views评论

阅读全文

安全开发

C#代码保护的杂谈

保护 C# 代码可以防止未经授权的访问、复制或盗窃其专有代码，从而保护其时间、精力和资源投入。如果没有适当的保护，C# 代码可以进行逆向工程，让其他人能够理解其逻辑、算法和设计。甚至还有一些工具可以反...

10月16日39 views评论

阅读全文

Java安全之URLDNS链分析

JAVA安全之Thymeleaf模板注入检测再探

Java反序列化之 CC1 链从0到1

JAVA_Fastjson

使用 Python 扩展 IDA 的功能：反汇编 Xtensa 指令的实际示例

PHP反序列化漏洞总结

慢雾：Compound Finance V2 安全审计手册

jackson 反序列化全文解析

Java攻防基础之Commons-Collections1分析

Java安全-深度剖析内存马&上篇

2.BinaryFormatter反序列化点+几个链子

C#代码保护的杂谈

在线咨询

微信