方法 - 第 12 | CN-SEC 中文网

信息情报

英国技术保障指南之英国技术保障的未来

NCSC及其之前的CESG已经参与确保技术安全超过30年。在那段时间里，随着技术在我们生活中日益增长的作用，我们的保证工作也在扩大。NCSC发布过一份白皮书，总结了对保证下一步应该走向何方的想法。该文...

01月14日36 views评论

阅读全文

安全文章

关于CC7的分析与思考

https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/CommonsCollections...

01月04日88 views评论

阅读全文

安全博客

fastjson：我一路向北，离开有你的季节

前言继续水一篇漏洞文。一、简介 fastjson 是阿里巴巴的开源 JSON 解析库，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON...

01月01日26 views评论

阅读全文

安全博客

Java RMI 攻击由浅入深

零、前言十一本来打算不卷了，好好放松放松，但是几个事情对我触动比较大，所以就又给自己设了个搞懂 RMI 反序列化相关攻击的学习目标。再加上一是为后续深入 IIOP/T3 打下基础，二是最近一位师傅...

01月01日35 views评论

阅读全文

安全闲碎

损坏文档修复技术方法介绍

原文始发于微信公众号（网络安全与取证研究）：损坏文档修复技术方法介绍

12月17日20 views评论

阅读全文

KernelCallbackTable注入方法的修改方案

背景知识众所周知，xp以后的系统，ring3进ring0的方法是通过系统快速调用也就是sysenter/sysexit或syscall/sysret实现的，而与之类似的，NT 4.0开始，微软将之前纯...

12月14日程序逆向188 views评论

阅读全文

Java 代码审计题目类型和修复方案

Java 代码审计行为问题不可控的内存分配存在问题的代码：public class Example { public&nbs...

12月13日代码审计28 views评论

阅读全文

安全闲碎

服务器镜像仿真方法介绍

原文始发于微信公众号（网络安全与取证研究）：服务器镜像仿真方法介绍

12月12日27 views评论

阅读全文

安全闲碎

从JDK源码中探究Runtime#exec的限制

前言遇到很多次在调用Runtime.getRuntime().exec方法进行弹shell的时候遇到的各种限制，都没好好的认识认识原理，这次主要是总一个总结和原理上的分析。&n...

11月29日35 views评论

阅读全文

安全漏洞

CVE-2022-42920 BCEL 任意文件写漏洞

前言Apache Commons BCEL旨在为用户提供一种方便的方法来分析、创建和操作（二进制）Java 类文件（以 .class 结尾的文件）。类由包含给定类的所有符号信息的对象表示：特别是方法、...

11月25日133 views评论

阅读全文

安全文章

从渗透测试报告中可以期待什么

在渗透测试结束时生成的报告是该过程中最重要的方面。这是一种结构化的方式来展示测试发现的细节，包括使用的方法、现有安全系统的有效性以及需要改进的地方。良好的文档可为组织提供有关当前漏洞和保护数据的可行策...

11月09日40 views评论

阅读全文

安全文章

ThinkPHP6.0.12LTS反序列化（getshell的poc链接）

tp框架6.0.12是LTS版本，长期维护，所以，还有一些钻研，因此也是心血来潮试验了一番，有发师傅为RCE的poc链，因为学习看到6.0.9的时候看到过getshell的，所以想着把这个版本的get...

11月01日216 views评论

阅读全文

在线咨询

微信