factory | CN-SEC 中文网

代码审计

Java安全-CC6链

关注公众号夜风Sec内回复java，获取java审计代码视频资料CC6不限制JDK版本、也不限制CommonsCollections的版本❝分析后半部分的链和前面是一样的/* HashMap.read...

03月10日6 views评论

阅读全文

代码审计

JAVA 协议安全笔记-JNDI篇

0x01 JNDI介绍 JNDI 全称为 Java Naming and Directory Interface 也即JAVA 名称和目录接口 Naming 名称服务，简单来说就是通过名称查找实际对象...

02月25日10 views评论

阅读全文

安全开发

【SDL实践指南】Fortify控制流巧用之XXE规则调试记录

文章前言在Fortify执行静态代码扫描时会加载默认规则和自定义规则目录下的自定义规则内容，输出结果中不仅有默认规则的众多的安全问题还会有自定义规则扫描出来的问题，如果我们想要只扫描我们自定义的规则那...

02月15日7 views评论

阅读全文

安全文章

从原理到实战，详解XXE攻击

1 基本概念XML基础：XML 指可扩展标记语言（Extensible Markup Language)，是一种与HTML类似的纯文本的标记语言，设计宗旨是为了传输数据，而非显示数据。是W3C的推荐标...

02月10日16 views评论

阅读全文

人工智能安全

大模型系列之LLaMA Factory微调学习

关于LLaMA Factory在人工智能技术迅速发展的今天，如何高效地微调和部署大型语言模型（LLM）成为了研究和应用的热点。Llama-Factory 作为一个开源的微调框架，正是在这一背景下应运而...

01月25日27 views评论

阅读全文

代码审计

导致Log4j Rce的JNDI注入

前言记前奏，复现分析了史诗级漏洞Log4j Rce漏洞，并且搞明白了调用链，发现后面是利用的JNDI注入漏洞，问了其他师傅，其他好多漏洞都是因为这个漏洞。为了总结完美一点，一定要补上本文，熟悉...

01月03日18 views评论

阅读全文

安全文章

防范XXE漏洞：XXE攻击详解与应对策略

一、XXE 漏洞概述XML（可扩展标记语言）是一种用于标记电子文件的结构化语言，它能够对数据进行标记并定义数据类型。XML允许用户自定义标记语言，因此在数据交换和存储中被广泛使用。1.1 XML 文档...

01月03日46 views评论

阅读全文

安全文章

CodeQL之前置知识AST生成过程

JCTree官方文档语法树是从JCTree实现com.sun.source.Tree的子类型及其子类型构建的今天主要是深入看下AST的数据结构，方便以后更好的处理AST数据。先找到JCTree(co...

01月02日5 views评论

阅读全文

程序逆向

银狐源码解读—核心组件模块

图1~图3，文章较长，由于公众号排版不支持mermaid，如需阅读，公众号后台回复"银狐1"获取下载链接，长期有效，原文始发于微信公众号（TIPFactory情报工厂）：银狐源码解读—核心组件模块

12月09日21 views评论

阅读全文

安全闲碎

安卓16DP1官方已提供下载，支持Pixel6，附下载链接

安卓15 dp2后加入的终端，支持虚拟化运行Linux系统，太香了，妥妥的Android SubSystem for Linux（ASL）。国外老哥已经测试成功跑debian了（图片来自Mishaal...

11月21日26 views评论

阅读全文

安全文章

vulnhuntr：基于大语言模型和静态代码分析的漏洞扫描与分析工具

关于vulnhuntr vulnhuntr是一款基于大语言模型和静态代码分析的安全漏洞扫描与分析工具，该工具可以算得上是世界上首款具备自主AI能力的安全漏洞扫描工具。 Vulnhuntr 利用 LLM...

11月20日27 views评论

阅读全文

安全文章

JNDI的基础利用总结（下篇）

JNDI核心原理详细分析 01 加载远程codebase中的reference 适用前提：目标出网 jdk<8u191 举例分析此处使用的是ldap协议，因此受影响的版本即8u...

11月14日8 views评论

阅读全文

在线咨询

微信