免责声明:由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢...
Java反序列化安全 - CommonsCollections1-3分析
CommonsCollections1分析1.环境搭建<dependency><groupId>commons-collections</groupId><a...
一文吃透文件上传漏洞!路径遍历、后缀绕过、ZIP炸弹全解析
🔍 文件上传漏洞Java源码审计详解(附代码分析)文件上传是 Web 应用中极其常见的功能,但一旦实现不当,极易造成严重漏洞,如:上传 WebShell、任意文件写入、远程命令执行等。本篇将从源码审计...
如何从 0 在不断调试中挖掘一条新利用链
前言在挖掘在 hutool 组件的漏洞的时候,尝试构造利用 POC 的时候并不是那么顺利,最后也是一步一步不断调试分析构造出了我们的 POC失败的调用起源在一次失败的调用import cn.hutoo...
Java安全-CC6链
关注公众号夜风Sec内回复java,获取java审计代码视频资料CC6不限制JDK版本、也不限制CommonsCollections的版本❝分析后半部分的链和前面是一样的/* HashMap.read...
JAVA 协议安全笔记-JNDI篇
0x01 JNDI介绍 JNDI 全称为 Java Naming and Directory Interface 也即JAVA 名称和目录接口 Naming 名称服务,简单来说就是通过名称查找实际对象...
【SDL实践指南】Fortify控制流巧用之XXE规则调试记录
文章前言在Fortify执行静态代码扫描时会加载默认规则和自定义规则目录下的自定义规则内容,输出结果中不仅有默认规则的众多的安全问题还会有自定义规则扫描出来的问题,如果我们想要只扫描我们自定义的规则那...
从原理到实战,详解XXE攻击
1 基本概念XML基础:XML 指可扩展标记语言(Extensible Markup Language),是一种与HTML类似的纯文本的标记语言,设计宗旨是为了传输数据,而非显示数据。是W3C的推荐标...
大模型系列之LLaMA Factory微调学习
关于LLaMA Factory在人工智能技术迅速发展的今天,如何高效地微调和部署大型语言模型(LLM)成为了研究和应用的热点。Llama-Factory 作为一个开源的微调框架,正是在这一背景下应运而...
导致Log4j Rce的JNDI注入
前言 记前奏,复现分析了史诗级漏洞Log4j Rce漏洞,并且搞明白了调用链,发现后面是利用的JNDI注入漏洞,问了其他师傅,其他好多漏洞都是因为这个漏洞。为了总结完美一点,一定要补上本文,熟悉...
防范XXE漏洞:XXE攻击详解与应对策略
一、XXE 漏洞概述XML(可扩展标记语言)是一种用于标记电子文件的结构化语言,它能够对数据进行标记并定义数据类型。XML允许用户自定义标记语言,因此在数据交换和存储中被广泛使用。1.1 XML 文档...
CodeQL之前置知识AST生成过程
JCTree官方文档 语法树是从JCTree实现com.sun.source.Tree的子类型及其子类型构建的今天主要是深入看下AST的数据结构,方便以后更好的处理AST数据。先找到JCTree(co...