安全开发 - 第 89 | CN-SEC 中文网

安全开发

JAVA安全学习

JavaSecurityLearning项目的初衷是为了让更多师傅在学习 Java 安全的时候能够有一条比较清晰的学习路线，也希望师傅们通过这个项目学习 Java 安全时有能够所收获。项目文件夹中包含...

10月18日47 views评论

阅读全文

代码审计

WordPress Tainacan 插件存在前台任意文件读取漏洞(CVE-2024-7135)

0x00 前言由于 0.21.7 之前（包括 0.21.7）的所有版本中缺少对“get_file”功能的功能检查，因此适用于 WordPress 的 Tainacan 插件容易受到未经...

10月18日64 views评论

阅读全文

代码审计

7.DataContractSerializer反序列化点以及相关链

1.DataContractSerializer的使用一个功能和用法都很像XmlSerializer的方法。先用软子的官方文档的代码来学习一下。我们先写一个类注意这个类上面要加上[DataContra...

10月18日21 views评论

阅读全文

安全开发

前端：收集15个非常实用的JS代码，值得收藏

1、随机生成字符串2、实现字符串的翻转3、删除数组中重复元素4、RGB到十六进制转换机制5、打乱一个数组，重新组合6、获取两个日期的时间间隔（天数）7、获取当天属于今年的第几天8、截断字符串长度截取...

10月18日20 views评论

阅读全文

代码审计

九维团队-绿队（改进）| JAVA反序列化用法科普

一介绍java反序列化是将对象从字节流转换回对象的过程。在Java中，可以使用对象输出流来将Java对象序列化为字节流，并使用对象输入流将字节流反序列化为Java对象。反序列化的过程是在Java虚拟机...

10月18日16 views评论

阅读全文

代码审计

Java安全之URLDNS链分析

Java安全之URLDNS链分析前言今天来复习一下URLDNS这条链，水一篇文章吧。也弥补了Java安全系列的入门必学的一个利用链的文章的空白。URLDNS链本身不能执行命令，多用于构造 DNS 操作...

10月18日23 views评论

阅读全文

安全开发

JAVA安全之Thymeleaf模板注入检测再探

文章前言从之前的文章中我们分析后发现Thymeleaf 3.0.15版本中只要检测到"{"就会认为存在表达式内容，随后直接抛出异常停止解析来防范模板注入问题，此类场景用于我们URL PATH、Retr...

10月18日16 views评论

阅读全文

代码审计

Java反序列化之 CC1 链从0到1

声明：本篇文章作者YDJA，本文属i春秋原创奖励计划，未经许可禁止转载。https://bbs.ichunqiu.com/thread-63612-1-1.html0x00 前言承接上文的 URLDN...

10月17日26 views评论

阅读全文

代码审计

JAVA_Fastjson

0x00前言Fastjson 是 Alibaba 开发的 Java 语言编写的高性能 JSON 库，用于将数据在 JSON 和 Java Object 之间互相转换提供两个主要接口来分别实现序列化和反...

10月16日26 views评论

阅读全文

安全开发

使用 Python 扩展 IDA 的功能：反汇编 Xtensa 指令的实际示例

在逆向工程过程中，您可能会遇到可用工具尚不支持您正在使用的架构的情况。在本文中，我们将探讨这样的案例并展示扩展 IDA 功能的示例。我们探索如何实现 IDA 插件来反汇编新的 Xtensa 指令。为什...

10月16日58 views评论

阅读全文

代码审计

PHP反序列化漏洞总结

漏洞成因开发者为了以某种存储形式使自定义对象持久化同时实现将对象从一个地方传递到另一个地方通常会在程序中引入序列化和反序列化两种操作。但是如果程序未对用户输入的序列化字符串进行检测，导致攻击者可以控制...

10月16日35 views评论

阅读全文

代码审计

慢雾：Compound Finance V2 安全审计手册

引言随着 DeFi 生态系统的迅速发展，Compound Finance V2 作为该领域的先驱者之一，凭借其创新的借贷模式吸引了大量用户。然而，任何复杂的分布式应用都面临着潜在的安全威胁，尤其是涉及...

10月16日27 views评论

阅读全文

JAVA安全学习

WordPress Tainacan 插件存在前台任意文件读取漏洞(CVE-2024-7135)

7.DataContractSerializer反序列化点以及相关链

前端：收集15个非常实用的JS代码，值得收藏

九维团队-绿队（改进）| JAVA反序列化用法科普

Java安全之URLDNS链分析

JAVA安全之Thymeleaf模板注入检测再探

Java反序列化之 CC1 链从0到1

JAVA_Fastjson

使用 Python 扩展 IDA 的功能：反汇编 Xtensa 指令的实际示例

PHP反序列化漏洞总结

慢雾：Compound Finance V2 安全审计手册

在线咨询

微信