漏洞描述Spring Framework 是一个开源的 Java 应用程序框架,UriComponentsBuilder 是 Spring Web 中用于构建和操作 URI 的工具类。受影响版本中,由...
漏洞分析 | Apache Skywalking的log4shell分析
朋友们,现在只对常读和星标的公众号才展示大图推送,建议大家把杂七杂八聊安全“设为星标”,否则可能就看不到了啦~0x01 触发点位置graphql.GraphQL#parseAndValidate调用堆...
Tomcat 漏洞分析与修复(1)
闲来无事,想收集便于自用的漏洞合集,打算先从接触到的 Tomcat 入手进行收集整理,本文将聚焦于 Tomcat 的 CVE-2020-10487 漏洞,详细阐述漏洞的复现过程及有效的修复方法。一、漏...
vite 漏洞分析
Vite 任意文件读取漏洞分析速看版本根据已有的poc(/@fs/etc/passwd?import&?inline=1.wasm?init) ,全局搜索 找到正则 查看调用,很丝滑的文件读取...
【CVE-2025-22228】Spring Security 漏洞分析复现
漏洞描述CVE-2025-22228 是一个存在于 Spring Security 的 spring-security-crypto 包中的身份验证绕过漏洞。该漏洞允许攻击者通过使用超过 72 个...
某NET代码审计前台RCE漏洞分析
免责申明本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。一、前言某位师傅给我发了一个顺景ERP的代...
【CVE-2025-30208】| Vite-漏洞分析与复现
漏洞描述CVE-2025-30208 是 Vite 开发服务器中的一个任意文件读取漏洞。该漏洞允许攻击者通过特定的 URL 参数绕过访问控制,从而读取服务器上的敏感文件(如 `/etc/passwd`...
Datacon24漏洞赛道冠军分享:vuln_wp——大模型赋能的漏洞自动化分析全解析(武大)
出题人推荐由于其复杂的性质,漏洞识别与定位一直是一个具有挑战性的难题。在Datacon2024漏洞分析赛道中,冠军团队——武汉大学0817 IOTG,针对性的对不同类型漏洞采用大模型方法以及与其匹配的...
网络攻击和安全现状及预测分析
01攻击分析02事件响应03漏洞分析 04网络安全未来预测原文始发于微信公众号(安全架构):网络攻击和安全现状及预测分析
某cms的漏洞分析
漏洞描述该漏洞源于Appcenter.php存在限制,但攻击者仍然可以通过绕过这些限制并以某种方式编写代码,使得经过身份验证的攻击者可以利用该漏洞执行任意命令漏洞分析绕过编辑模板限制,从而实现RCE这...
【JAVA安全】JNDI漏洞分析
背景近年来,JNDI(Java Naming and Directory Interface)相关的安全漏洞频繁成为企业级Java应用的重大威胁。尤其是2021年底爆发的Log4j2漏洞(CVE-20...
ECDSA 签名中的私钥泄露:elliptic 库畸形输入漏洞分析
作者:enze编辑:Liz引言近期,JavaScript 生态中广泛使用的 elliptic 加密库被发现存在严重安全漏洞(GHSA-vjh7-7g9h-fjfh)。攻击者可以通过构造特定输入,在仅签...