dataflow | CN-SEC 中文网

Apache Jena 代码执行漏洞(CVE-2023-22665)

ARQ是Jena的一个查询引擎，它支持SPARQLRDF查询语言，同时也支持JavaScript。当Jena应用的SPARQL语句被外部可控时，将会造成任意代码执行漏洞。影响范围 Apache Je...

02月27日安全博客19 views评论

阅读全文

安全博客

用CodeQL分析漏洞_CVE-2022-42889

Apache Commons Text 是专门用来处理文本的一个库，据文档介绍其支持变量插值。在1.5 - 1.9版本默认支持”script”类型的插值，于是可以造成任意代码执行，也就是CVE-202...

02月27日15 views评论

阅读全文

安全博客

GitHub Security Lab CTF: CodeQL and Chill

这是GitHub Security Lab CTF的一道题目，利用CodeQL挖掘Netflix Titus服务端模板注入漏洞。漏洞详情JSR是Java Specification Requests...

02月27日10 views评论

阅读全文

CodeQL学习笔记

CodeQL学习笔记，大部分翻译自官方文档安装下载CodeQL CLIhttps://github.com/github/codeql-cli-binaries/releases 解压至/xxx/C...

02月27日安全博客12 views评论

阅读全文

安全闲碎

CodeQL 提升篇

0x00 功能编译闭源项目创建数据库，可以使用该工具：https://github.com/ice-doom/codeql_compile 历史查询在VSCode左侧可以的QUERY HISTO...

02月25日11 views评论

阅读全文

安全文章

codeql在mybatis某漏报场景下的研究学习

“A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践。”...

02月11日16 views评论

阅读全文

代码审计

利用CodeQL进行源代码安全审计

概述CodeQL 是Github 安全实验室推出的基于语法分析的代码审计工具。CodeQL将语法树抽离出来，提供了使用QL查询代码的方案，增强了基于数据分析的灵活度。官网安装使用安装1. ...

01月10日46 views评论

阅读全文

安全文章

原创 Paper | CodeQL 入门和基本使用

作者：0x7F@知道创宇404实验室时间：2024年11月12日1.前言参考资料CodeQL 是 GitHub 推出的一种静态代码分析工具，用于查找和修复代码中的漏洞和安全问题。该工具最早由 Semm...

11月12日88 views评论

阅读全文

安全漏洞

CVE-2024-22263：Spring Cloud Dataflow中路径遍历导致的任意文件写入漏洞

网址https://blog.securelayer7.net/spring-cloud-data-flow-exploit/目标Spring Cloud Dataflow < 2.11.3解释...

08月24日21 views评论

阅读全文

安全漏洞

CVE-2024-22263：Spring Cloud Dataflow 任意文件写入

介绍Spring Cloud Data Flow 是一个基于微服务的平台，用于 Cloud Foundry 和 Kubernetes 中的流式和批量数据处理，它容易受到任意文件写入问题的攻击。该漏洞位...

08月23日86 views评论

阅读全文

使用 CodeQL 查找原型污染小工具

####################免责声明：工具本身并无好坏，希望大家以遵守《网络安全法》相关法律为前提来使用该工具，支持研究学习，切勿用于非法犯罪活动，对于恶意使用该工具造成的损失，和本人及开...

04月23日安全工具11 views评论

阅读全文

安全漏洞

DSN Injection(CVE-2022-3023)

本文是i春秋论坛签约作家「fatmo」分享的技术文章，所涉及的内容仅限用于学习和研究目的，不得将正文内容用于商业或者非法用途！公众号旨在为大家提供更多的学习方法与技能技巧，文章仅供学习参考。fatmo...

03月27日33 views评论

阅读全文