artifactid - 第 3 | CN-SEC 中文网

安全文章

Spring Boot SpEL表达式注入

文章前言Spring表达式语言(Spring Expression Language，简称SpEL)是一种功能强大的表达式语言，它可以用于在Spring配置中动态地访问和操作对象属性、调用方法、执行计...

12月27日16 views评论

阅读全文

安全文章

Spring Native初探

近几年“原生”一词一直泛滥在云计算、边缘计算等领域中，而原生宠幸的语言也一直都是Golang，Rust等脱离Sandbox运行的开发语言。Java得益于上世纪流行的一次编译，到处执行的理念，流行至今，...

12月18日24 views评论

阅读全文

代码审计

java代码审计之学生管理系统

项目技术分析根据readme和pom文档可以知道该项目采用了以下技术：<dependencies> <dependency> <groupId>or...

12月11日36 views评论

阅读全文

安全文章

高版本Fastjson反序列化Xtring新链和EventListenerList绕过

前言Fastjson反序列化原生利用是找到一个能够readObject的类，调用toString方法，然后调用toJSONString方法，再调用getter，实现反序列化利用。最经典利用链：BadA...

12月09日17 views评论

阅读全文

安全文章

JAVA安全之Groovy命令注入刨析

文章前言 Groovy是一种基于Java平台的动态语言，其设计目标是为Java开发者提供一种更简洁、高效和灵活的方式来编写代码，它与Java语言具有良好的兼容性，允许开发者在Java项目中无缝使用Gr...

12月09日13 views评论

阅读全文

安全文章

Java 安全 | Agent 内存马

Agent 内存马为之前的javaAgent & javassist的做一个实操: https://mp.weixin.qq.com/s/3Zy6P3lB9CpJ6Y0EICP0Lg声明：文中...

11月23日8 views评论

阅读全文

安全文章

spring +fastjson 的 rce

前言众所周知，spring 下是不可以上传 jsp 的木马来 rce 的，一般都是控制加载 class 或者 jar 包来 rce 的，我们的 fastjson 的高版本正好可以完成这些，这里来简单分...

11月22日6 views评论

阅读全文

Java 安全 | SpEL 表达式注入

SpEL 表达式注入漏洞前言参考: 原文链接删掉了一些SpEL语法相关的内容, 把关注点放在漏洞产生原因上, 把 SpEL 注入在 XML, @Value, 代码块中, 以每个不同的案例呈现出来, 速...

11月21日代码审计28 views评论

阅读全文

代码审计

javasec | fastjson底层分析

扫码领资料获网安教程本文由掌控安全学院 - nn0nkey 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）前言我们平常不得不了解一种数据就是js...

11月17日10 views评论

阅读全文

安全文章

利用Sonatype API实现依赖检测工具

背景由于毕设答辩时间提前，导致迫不得已砍掉部分功能，而个人感觉功能有点少故添加了个依赖检测功能，大体原理利用Maven API解析提取上传的Pom文件中的依赖项，然后借助Sonatype进行安全检测。...

11月12日11 views评论

阅读全文

安全文章

Thymeleaf模板注入详细分析

Thymeleaf的SSTI介绍Thymeleaf 是一个流行的 Java Web 视图模板引擎，可以方便地将数据和 HTML 模板结合起来生成网页。但是在使用 Thymeleaf 的过程中，如果没有...

11月11日8 views评论

阅读全文

安全文章

SpringBoot框架文件上传的Trick

SpringBoot框架文件上传的Trick前言Spring Boot 是一款基于 Spring 框架的快速开发 Web 应用的工具。它提供了很多功能强大的框架和引擎，如 Thymeleaf、Free...

11月10日7 views评论

阅读全文

Spring Boot SpEL表达式注入

Spring Native初探

java代码审计之学生管理系统

高版本Fastjson反序列化Xtring新链和EventListenerList绕过

JAVA安全之Groovy命令注入刨析

Java 安全 | Agent 内存马

spring +fastjson 的 rce

Java 安全 | SpEL 表达式注入

javasec | fastjson底层分析

利用Sonatype API实现依赖检测工具

Thymeleaf模板注入详细分析

SpringBoot框架文件上传的Trick

在线咨询

微信