方法 - 第 12 | CN-SEC 中文网

安全闲碎

G.O.S.S.I.P 阅读推荐 2023-01-30 Pitchfork

告别了兔年的春节长假，也告别了令人提心吊胆的isolation和病毒大流行，我们在“节后余生”的第一篇推送中，就要带着轻松的心态去读一篇来自ACSAC 2022、关于权限隔离和访问控制的研究论文——T...

01月30日25 views评论

阅读全文

安全闲碎

您的密码是如何落入坏人之手的？

对于我们大多数人来说，密码只是无数在线服务最常用的身份验证方法。但对于网络犯罪分子而言，它的意义远不止于此——进入他人生活的捷径、至关重要的作案工具以及可以出售的商品。知道密码后，骗子不仅可以获取您的...

01月25日53 views评论

阅读全文

信息情报

英国技术保障指南之英国技术保障的未来

NCSC及其之前的CESG已经参与确保技术安全超过30年。在那段时间里，随着技术在我们生活中日益增长的作用，我们的保证工作也在扩大。NCSC发布过一份白皮书，总结了对保证下一步应该走向何方的想法。该文...

01月14日37 views评论

阅读全文

安全文章

关于CC7的分析与思考

https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/CommonsCollections...

01月04日91 views评论

阅读全文

安全博客

fastjson：我一路向北，离开有你的季节

前言继续水一篇漏洞文。一、简介 fastjson 是阿里巴巴的开源 JSON 解析库，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON...

01月01日28 views评论

阅读全文

安全博客

Java RMI 攻击由浅入深

零、前言十一本来打算不卷了，好好放松放松，但是几个事情对我触动比较大，所以就又给自己设了个搞懂 RMI 反序列化相关攻击的学习目标。再加上一是为后续深入 IIOP/T3 打下基础，二是最近一位师傅...

01月01日42 views评论

阅读全文

安全闲碎

损坏文档修复技术方法介绍

原文始发于微信公众号（网络安全与取证研究）：损坏文档修复技术方法介绍

12月17日24 views评论

阅读全文

KernelCallbackTable注入方法的修改方案

背景知识众所周知，xp以后的系统，ring3进ring0的方法是通过系统快速调用也就是sysenter/sysexit或syscall/sysret实现的，而与之类似的，NT 4.0开始，微软将之前纯...

12月14日程序逆向192 views评论

阅读全文

Java 代码审计题目类型和修复方案

Java 代码审计行为问题不可控的内存分配存在问题的代码：public class Example { public&nbs...

12月13日代码审计34 views评论

阅读全文

安全闲碎

服务器镜像仿真方法介绍

原文始发于微信公众号（网络安全与取证研究）：服务器镜像仿真方法介绍

12月12日34 views评论

阅读全文

安全闲碎

从JDK源码中探究Runtime#exec的限制

前言遇到很多次在调用Runtime.getRuntime().exec方法进行弹shell的时候遇到的各种限制，都没好好的认识认识原理，这次主要是总一个总结和原理上的分析。&n...

11月29日37 views评论

阅读全文

安全漏洞

CVE-2022-42920 BCEL 任意文件写漏洞

前言Apache Commons BCEL旨在为用户提供一种方便的方法来分析、创建和操作（二进制）Java 类文件（以 .class 结尾的文件）。类由包含给定类的所有符号信息的对象表示：特别是方法、...

11月25日138 views评论

阅读全文

在线咨询

微信