xml注入类漏洞产生原因是xml解析没有正确配置,没有禁止解析外部实体,所以这个漏洞以及代码部分都比较简单,也很好分析。 只做代码分析,和简单的poc验证,仅供学习,一切均来自互联网。 还是某oa网上...
10月07日15 views评论servlet
代码
xml注入
10月07日15 views评论servlet
代码
10月07日15 views评论servlet
代码
100M Token 上下文的编程模型带来的思考
今天大漂亮出来了一个模型,8000张H100卡实现的。通过映射hash来实现代码的快速实现代码的编程。先不说别的,先来看下文就准确率来说32M以下都是100%,这个太可怕了,github上相当一部分代...
09月26日26 views评论代码
模型
VMware 修复Fusion中的高危代码执行漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周二,虚拟化软件技术厂商 VMware 为 Fusion 管理程序推出安全更新,修复了可导致代码执行的高危漏洞CVE-2024-38811。该漏洞的...
09月25日8 views评论代码
奇安信
SAST白盒扫描实践
前言 在企业内安全有一项很重要的工作,那就是应用安全测试AST(Application Security Test)。AST根据所用技术和场景的不同,一般分为SAST,DAST和IAST。 SAST:...
09月24日181 views评论代码
应用程序安全
由00截断造成的文件读取(CVE-2023-47473分析)
鉴权分析 通过web.xml配置文件查看过滤器,所以路由都会经过SessionControl_UserLogin过滤器, 进入SessionControl_UserLogin过滤器,查看doFilte...
09月23日17 views评论代码
过滤器
技术分享 | Jenkins 后渗透
原创征稿本文由abcd提供,主要介绍了获取Jenkins用户权限后如何进一步利用扩大成果。前言在实战项目中,经常会碰到Jenkins,但在高版本的Jenkins下我们无法直接rce,因此需要通过密码本...
09月05日112 views评论代码
插件
巧用文件名绕过白名单?
前言: 在日常代码审计中遇到个这玩意,遇到一个奇怪的白名单上传的写法,然后通过这个shell了。 于是引发了下面的思考,以及简单的看了下github上面的代码,发觉这种写法的还不少。 正文: 遇到的代...
08月30日27 views评论代码
白名单
G.O.S.S.I.P 阅读推荐 2024-08-28 学点C++(C++ Insights)
转眼间,1979年出生的C++语言已经步入中年,这位大叔年轻的时候就有点复杂,这几年愈发的开始“一人千面”,关于这门语言的争论一直没有停止,不过正如它的发明者Bjarne Stroustrup所说,世...
08月28日14 views评论c
代码
渗透测试实战 | 代码审计攻破目标站点
一、事件起因 在一个风和日丽的夜晚,我收到一位朋友的请求,希望我协助检查一个特定的站点。为了表达谢意,他还特意为我准备了第二天晚上的早饭。抱着对美食的期待,我开始着手调查这个站点的问题。 二、渗透过程...
08月27日16 views评论代码
代码审计
2024年安全编码工具Top10
随着技术依赖性的增加,病毒和安全漏洞在操作系统中的出现变得不可避免。代码安全工具是帮助开发人员编写无错误、无缺陷代码的关键软件应用程序。这些工具通常在代码创建阶段进行分析,及时指出错误和漏洞,从而在代...
08月26日85 views评论代码
插件
开源工具被用于诈骗,作者被跨省,无奈删除代码
开源下载器 Aria 开发者今日在 GitHub 上宣布,因 Aria 被诈骗分子引用了开源代码,因此删除项目全部源码。开发者表示,因为自己的开源项目被诈骗份子使用,导致自己被跨省(是指网民因为在网上...
08月22日77 views评论代码
源码
供应链攻击几乎每天都会发生:网络安全研究
据Cyble威胁情报研究人员称,软件供应链攻击正变得越来越普遍,这是一个坏消息,因为这种攻击的严重性和影响范围。Cyble在2月至8月中旬的6个月内检测到网络犯罪分子在暗网上提出的90起供应链违规索赔...
08月21日74 views评论代码
供应链
82