反射调用 | CN-SEC 中文网

代码审计

CommonsCollections CC1攻击链详解

“A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践。”...

01月13日17 views评论

代码审计

前言学习反序列化就肯定少不了学习CB，CC，CK等已有的链子来帮我我们理解各大反序列化漏洞的挖掘思路，漏洞利用，这里团队的XJiu师傅就带兄弟们先学习一下CC1这个经典链，它适用的依赖版本经常出现在框...

11月11日9 views评论

安全文章

前言 xxl-job Hessian2反序列化漏洞本身是一个挺老的漏洞了，影响版本也比较老，在一次项目中碰到了xxl-job，其/api接口可以未授权访问存在hessian2反序列化漏洞...

10月08日91 views评论

代码审计

JRASP反射加固实践JRASP十分重视自身安全性的建设，采用了多种方式提高RASP自身的安全防护能力，包括：策略配置加密；RASP自身代码与业务隔离；安全策略模块磁盘加密、运行时解密；Agent与D...

04月02日17 views评论

代码审计

0x00 前言关于Tomcat Filter型内存马的介绍资料有很多，但是Jetty Filter型内存马的资料很少，本文将要参照Tomcat Filter型内存马的设计思路，介绍Jetty Fil...

04月05日57 views评论