0x00 前言 新年快乐师傅们,过完年了又得开工了,本次分享的内容为 从CTF中学习Vaadin gadgets,本篇文章原文放到了我的博客里头,博客链接为 https://zjackky...
apache-ofbiz-CVE-2023-51467漏洞分析
apache-ofbiz-CVE-2023-51467漏洞分析漏洞简介Apache OFBiz是一套足够灵活的业务应用程序,可以在任何行业中使用。通用架构允许开发人员轻松扩展或增强它以创建自定义功能。...
综述导读 | Data-centric Graph Learning: A Survey
在人工智能(AI)的发展历程中,高质量数据对于各种深度学习模型(如 ImageNet 对 AlexNet 和 ResNet)起到了重要的推动作用。近年来,相较于设计更为复杂的神经网络结构(model-...
fastjson反序列化-1.2.24漏洞利用与分析
本文由掌控安全学院 - xilitter投稿 0x01 利用条件 通过对fastjson基础知识的学习和反序列化流程的分析,发现它与我们之前学的常规的反序列化又不太一样。fastjson自己定义了一套...
无线振动感知:原理、技术与应用
摘 要 无线振动感知是指利用无线电波或声波等无线信号,对环境中的振动信号进行检测和识别的技术。无线振动感知具有非接触、无需额外硬件、可穿透障碍物等优点,可以实现对人体、机器、物体等的运动状态、健康状况...
CVE-2023-50164 Apache Struts RCE 分析
基本信息由于 Struts 框架在处理参数名称大小写方面的不一致性,导致未经身份验证的远程攻击者能够通过修改参数名称的大小写来利用目录遍历技术上传恶意文件到服务器的非预期位置,最终导致代码执行。影响版...
网络安全等级保护:学习现代密码知识
学习现代加密方法 毫不奇怪,现代加密方法比刚刚讨论的历史方法更安全。本节中讨论的所有方法目前都在使用,并且被认为相当安全。请注意,DES 是一个例外,但这只是因为它的密钥长度较短,已经被归到不安全算法...
记一次巧妙的SQL注入漏洞审计
一、前景提要 起因是因为审计完rbac项目之后,把审计报告发到博客。过了一段时间有位师傅跟我说这个项目还有一个SQL注入我没有审计到,我寻思这个项目用的Mybatis框架,我记得SQL语句用$拼接参数...
在野0day | 亿赛通任意用户登录分析
简要分析 定位源码 全局搜索LinkFilterService,在web.xml中找到其定义。 代码路径:com/esafenet/filter/LinkFilter.class 分析源码 在serv...
亿赛通任意用户登录分析
免责声明:任何未经授权的黑客行为都是违法的。该文章仅用于网络安全教学,以便我们可以保护自己免受真正的黑客攻击。请遵守相关法律法规,严禁用于非法途径。简要分析定位源码全局搜索LinkFilterServ...
Xstream反序列化漏洞
Xstream简介XStream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。说白了就是我们可以将Java对象转换为XML,也可以将XML字符串转换为Java对象。Xstre...
信呼oa命令执行分析分析(CVE-2023-1773)
漏洞说明信呼OA是一款免费开源的办公OA系统,包括APP,pc上客户端,REIM即时通信,服务端等。信呼OA在2.3.3版本之前存在代码注入漏洞。该漏洞影响到组件配置文件处理程序的webmainCon...
34