前言 一天,我看完了番剧后,闲着无聊审计了一下我用来做内网共享的小工具——"Go HTTP File Server"。 这是一个文件服务器,可以快速搭建http服务器共享文件. 启动的默认路径为当前路...
05月25日25 views评论cve-2022-29804
realpath
一个隐藏在Go语言标准库中的目录穿越漏洞 CVE-2022-29804
05月25日25 views评论cve-2022-29804
realpath
05月25日25 views评论cve-2022-29804
realpath
【java安全】从0到1--第4章
点击蓝字关注我们微信搜一搜暗魂攻防实验室知识点1、JavaEE-反序列化-解释&使用&安全2、JavaEE-安全-利用链&直接重写方法3、JavaEE-安全-利用链&外...
05月25日32 views评论反序列化
序列化
com组件的从0-1
前言 本文是作者从0到1学习com的一个过程,记录了从初识com到com的武器化利用以及挖掘。com组件博大精深,无论是从开发的角度还是安全的角度都非常值得研究,本文仅作入门贴。 基础知识 对于com...
05月25日17 views评论计划任务
进程
从 CVE 学 Shiro 安全
本文首发在梅子酒师傅的知识星球《胡言乱语》,感谢师傅邀请为嘉宾。进一步排版、修改之后会发在 NoSec 平台及相关公众号中。 当然,校准后的文章和测试代码会更新至 JavaSec 中。 前言 本文继续...
05月25日安全博客43 views评论shiro
路径
iVMS-8700综合安防管理平台代码审计
前言群里有个师傅在问iVMS-8700综合安防管理平台的指纹信息,并且还说只是访问一下/eps/api/resourceOperations/upload,很明显,这里有个上传本来18号就想着写出来的...
05月25日208 views评论operation
代码审计
Go Sync 包:并发的 6 个关键概念
1.sync.Mutex和sync.RWMutex要知道,mutex(互斥)对于我们 gopher 来说就像一个老伙计。在处理 goroutine 时,确保它们不会同时访问资源是非常重要的,而 mut...
05月25日9 views评论goroutine
sync
原创 | shiro550,看这一篇就够了
点击蓝字关注我们Shiro 550shiro 550是对cookie中的RememberMe反序列化导致的漏洞,虽然16年就爆出了,但是现在在突破边界还是很好用环境搭建编辑器:IDEA 2020jav...
05月25日19 views评论dependency
shiro
特权访问管理应遵循的10个最佳实践
特权账户往往能够访问到企业中最重要的数据和信息,因此会成为攻击者竞相追逐的目标。为了保障数字化业务的安全开展,组织必须对各种特权账号的使用情况和异常行为进行有效的监控和管理。但在实际应用中,企业要真正...
05月24日22 views评论最佳实践
零信任
超详细的 Jenkins 多分支Pipeline自动发布项目
如果您正在寻找一个自动化的基于"Pull Request"或基于分支的Jenkins CI / CD管道,则本指南将帮助您全面了解如何使用Jenkins多分支管道来实现它。Jenkins多分支管道是设...
05月24日21 views评论jenkins
pipeline
为什么 recover 必须在 defer 中调用?
前言开始正文之前,先来看看几个有趣的小问题:为什么 panic 可以让程序崩溃?为什么 recover 可以捕获 panic 的消息并终止程序崩溃?为什么 recover 必须在 defer 中调用?...
05月24日20 views评论panic
unsafe
【java安全】从0到1--第2章
点击蓝字关注我们微信搜一搜暗魂攻防实验室0x01 JavaEE-过滤器-FilterFilter被称为过滤器,过滤器实际上就是对Web资源进行拦截,做一些处理后再交给下一个过滤器或Servlet处理,...
05月23日54 views评论filter
servlet
【java安全】从0到1--第3章
点击蓝字关注我们微信搜一搜暗魂攻防实验室知识点1、JavaEE-反射机制-开发和安全应用场景2、JavaEE-反射机制-类&成员变量&方法&构造方法操作3、JavaEE-反射机...
05月23日23 views评论ee
属性
306