factory | CN-SEC 中文网

安全文章

从JDBC MySQL不出网攻击到spring临时文件利用

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢...

04月28日17 views评论

阅读全文

代码审计

Java反序列化安全 - CommonsCollections1-3分析

CommonsCollections1分析1.环境搭建<dependency><groupId>commons-collections</groupId><a...

04月22日5 views评论

阅读全文

一文吃透文件上传漏洞！路径遍历、后缀绕过、ZIP炸弹全解析

🔍 文件上传漏洞Java源码审计详解（附代码分析）文件上传是 Web 应用中极其常见的功能，但一旦实现不当，极易造成严重漏洞，如：上传 WebShell、任意文件写入、远程命令执行等。本篇将从源码审计...

04月16日安全文章35 views评论

阅读全文

代码审计

如何从 0 在不断调试中挖掘一条新利用链

前言在挖掘在 hutool 组件的漏洞的时候，尝试构造利用 POC 的时候并不是那么顺利，最后也是一步一步不断调试分析构造出了我们的 POC失败的调用起源在一次失败的调用import cn.hutoo...

04月14日14 views评论

阅读全文

代码审计

Java安全-CC6链

关注公众号夜风Sec内回复java，获取java审计代码视频资料CC6不限制JDK版本、也不限制CommonsCollections的版本❝分析后半部分的链和前面是一样的/* HashMap.read...

03月10日7 views评论

阅读全文

代码审计

JAVA 协议安全笔记-JNDI篇

0x01 JNDI介绍 JNDI 全称为 Java Naming and Directory Interface 也即JAVA 名称和目录接口 Naming 名称服务，简单来说就是通过名称查找实际对象...

02月25日15 views评论

阅读全文

安全开发

【SDL实践指南】Fortify控制流巧用之XXE规则调试记录

文章前言在Fortify执行静态代码扫描时会加载默认规则和自定义规则目录下的自定义规则内容，输出结果中不仅有默认规则的众多的安全问题还会有自定义规则扫描出来的问题，如果我们想要只扫描我们自定义的规则那...

02月15日14 views评论

阅读全文

安全文章

从原理到实战，详解XXE攻击

1 基本概念XML基础：XML 指可扩展标记语言（Extensible Markup Language)，是一种与HTML类似的纯文本的标记语言，设计宗旨是为了传输数据，而非显示数据。是W3C的推荐标...

02月10日19 views评论

阅读全文

人工智能安全

大模型系列之LLaMA Factory微调学习

关于LLaMA Factory在人工智能技术迅速发展的今天，如何高效地微调和部署大型语言模型（LLM）成为了研究和应用的热点。Llama-Factory 作为一个开源的微调框架，正是在这一背景下应运而...

01月25日30 views评论

阅读全文

代码审计

导致Log4j Rce的JNDI注入

前言记前奏，复现分析了史诗级漏洞Log4j Rce漏洞，并且搞明白了调用链，发现后面是利用的JNDI注入漏洞，问了其他师傅，其他好多漏洞都是因为这个漏洞。为了总结完美一点，一定要补上本文，熟悉...

01月03日20 views评论

阅读全文

安全文章

防范XXE漏洞：XXE攻击详解与应对策略

一、XXE 漏洞概述XML（可扩展标记语言）是一种用于标记电子文件的结构化语言，它能够对数据进行标记并定义数据类型。XML允许用户自定义标记语言，因此在数据交换和存储中被广泛使用。1.1 XML 文档...

01月03日58 views评论

阅读全文

安全文章

CodeQL之前置知识AST生成过程

JCTree官方文档语法树是从JCTree实现com.sun.source.Tree的子类型及其子类型构建的今天主要是深入看下AST的数据结构，方便以后更好的处理AST数据。先找到JCTree(co...

01月02日5 views评论

阅读全文

从JDBC MySQL不出网攻击到spring临时文件利用

Java反序列化安全 - CommonsCollections1-3分析

一文吃透文件上传漏洞！路径遍历、后缀绕过、ZIP炸弹全解析

如何从 0 在不断调试中挖掘一条新利用链

Java安全-CC6链

JAVA 协议安全笔记-JNDI篇

【SDL实践指南】Fortify控制流巧用之XXE规则调试记录

从原理到实战，详解XXE攻击

大模型系列之LLaMA Factory微调学习

导致Log4j Rce的JNDI注入

防范XXE漏洞：XXE攻击详解与应对策略

CodeQL之前置知识AST生成过程

在线咨询

微信