dependency - 第 5 | CN-SEC 中文网

代码审计

JDBC反序列化漏洞

免责声明：本次文章仅限个人学习使用，如有非法用途均与作者无关，且行且珍惜；由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任...

05月18日8 views评论

阅读全文

安全文章

浅析Spring类内存马

Controller内存马环境搭建依赖<dependency> <groupId>org.springframework</groupId> <artifac...

05月14日8 views评论

阅读全文

代码审计

Java安全-深入BeanValidation的RCE漏洞

前面在学习Java的表达式的时候，学习了Thymeleaf造成的模板注入漏洞，后续又看到了相似的注入问题，在参数验证的错误消息中。漏洞简单描述就是，用户控制器的Java Bean 的属性（来自于HTT...

04月24日35 views评论

阅读全文

人工智能安全

【大模型入门3】通过spring AI实现java调用openai chatGPT(附api-key)

这是一篇大模型的小白入门文章。本章主要介绍如何使用spring AI在java项目中调用openAI chatGPT的接口。其实人工智能的研发是以python为主的，包括机器学习、深度学习和大模型。但...

04月19日71 views评论

阅读全文

安全新闻

必须立即修复Atlassian Bamboo数据中心和服务器中的严重漏洞

Atlassian已解决其Bamboo、Bitbucket、Confluence和Jira产品中的多个漏洞。其中最严重的漏洞被标识为CVE-2024-1597（CVSS评分为10），是一个SQL注入漏...

03月21日22 views评论

阅读全文

安全文章

LDAP反序列化

0x01 前言最近又回顾了一下LDAP反序列化漏洞，之前没有做笔记，借着这次机会补上，从漏洞复现角度出发，学习漏洞原理。0x02 漏洞分析01 环境搭建老样子，我们先来搭建复现需要的环境，新建一个空的...

03月05日42 views评论

阅读全文

代码审计

FastJson原生反序列化链

0x01 前言好久不见，此次分析源于一次fastjson实战，遇到了其他链打不了，发现原生的链可以打，本着知其然，必要知其所以然的态度，做了一次学习复现，留做笔记。0x02 漏洞分析01 环境搭建老规...

02月26日28 views评论

阅读全文

代码审计

hessian反序列化漏洞之Groovy链(代码分析)

Groovy更新到这里应该是hessian合集里的最后一篇文章了！如果喜欢作者文章的话，点个赞帮忙分享一下，如有不对的地方请大佬指出，对这方面感兴趣的师傅可以加个v 交流一下经验。文章不易多多支持！！...

02月24日47 views评论

阅读全文

代码审计

Java-removeSemicolonContentInternal分析

0x00 前言本篇文章是为了给下一篇代审做基础，这里讲述这个方法的作用，如何创建和如何调试。本人能力有限有不足之处，请见谅0x01 创建创建一个maven，这里的jdk版本应设置1.8设置pom...

02月21日25 views评论

阅读全文

安全漏洞

Confluence CommandExecutor插件Getshell

0x01 前言最近confluence出了两个新漏洞分别是，CVE-2023-22518与CVE-2023-22515都可进入后台(漏洞分析看主页)，通过后台"管理应用"->"上传应用"功能可...

02月15日57 views评论

阅读全文

RealWorld ctf 2019 accessible writeup | Hpasserby

AccessInfoFactory::ComputeDataFieldAccessInfo函数中，有两处unrecorded_dependencies.push_back被删除掉，同时让constne...

01月05日安全博客13 views已关闭评论

阅读全文

代码审计

FreeMarker入门到简要分析模版注入

FreeMarker简介FreeMarker 是一款模板引擎：即一种基于模板和要改变的数据，并用来生成输出文本(HTML网页，电子邮件，配置文件，源代码等)的通用工具。它不是面向最终用户的，而是一...

01月03日40 views评论

阅读全文