inputstream | CN-SEC 中文网

安全百科

反序列化漏洞原理剖析：从攻击到防御

点击上方蓝字关注我们在安全测试中，反序列化漏洞（Deserialization Vulnerability）因其高危害性和隐蔽性，成为近年来攻击者利用的最为频繁的漏洞类型之一，log4j2、fastj...

04月09日28 views评论

阅读全文

JAVA 反序列化学习笔记

1. 概述Java 反序列化是将字节流转换回对象的过程，通常用于网络传输或持久化存储。Java 提供了 ObjectOutputStream 和 ObjectInputStream 类来实现序列化和反...

03月05日代码审计10 views评论

阅读全文

安全文章

《URLDNS调试那些小事》

URLDNS调试那些小事近期在看javaweb相关的知识，ysoserial作为反序列化利用链的神器，想稍微利用它来调试一个简单的urldns利用链，进而了解这个工具。ysoserial链接：下载地址...

02月26日18 views评论

阅读全文

代码审计

从SpringInspector源码视角深入浅出静态代码分析技术

假设本文的读者已经有相关SpringBoot、字节码开发经验。 01分析原理市面上目前的主流白盒检测引擎估计就分为两者（之前是由正则和AST语法分析占据的），一种是基于字节码的堆栈模拟检...

02月20日17 views评论

阅读全文

安全漏洞

Apache Tomcat 条件竞争致远程代码执行漏洞（CVE-2024-50379）

免责声明：本篇文章仅用于技术交流，请勿利用文章内的相关技术从事非法测试，由于传播、利用本公众号无影安全实验室所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号无影安全实验室及...

02月18日33 views评论

阅读全文

安全文章

突破文件后缀限制实现任意文件上传

原文链接：https://forum.butian.net/share/4129 作者：中铁13层打工人 0x1 前言之前人力系统审计文章中发现了鸡肋的上传点，本着学习的心态看看能不能扩...

02月18日18 views评论

阅读全文

安全文章

突破后缀限制实现任意文件上传

文章作者：奇安信攻防社区（中铁13层打工人）文章来源：https://forum.butian.net/share/4129 1► 前言之前人力系统审计文章中发现了鸡肋的上传点，本着学习的心态看看...

02月14日18 views评论

阅读全文

安全漏洞

用友U8Cloud FileTransportServlet 反序列化漏洞（附利用脚本地址）

用友U8cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型企业，提供企业级云ERP整体解决方案，全面支持多组织业务协同、营销创新、智能财务、人力服务，构建产业链制造平台，融合用友云服务，实现...

02月11日40 views评论

阅读全文

代码审计

利用DeepSeek进行java代码审计，好用！

正文（漏洞代码来源：Hello-Java-sec）首先给大家放一段简单Java源码大家可以自行试试能否审计出漏洞：publicstatic String processbuilderVul(Strin...

02月10日40 views评论

阅读全文

安全文章

URLDNS链分析

Author：d4m1tsURLDNS链利用先来看看用ysoserial工具怎么利用的。# 生成序列化Payloadjava-jar ysoserial-0.0.6-SNAPSHOT-all.jar ...

01月11日5 views评论

阅读全文

安全文章

Apache Tomcat 最新RCE 稳定复现+分析保姆级！！！附复现视频+POC

#首先感谢Btwlon、阿呆攻防公众号主两位师傅的耐心答复！ #WingBy小密圈知识星球简介在文末。前言最近爆出 Apache Tomcat条件竞争导致的RCE，影响范围当然是巨大的，公司也及时...

12月19日20 views评论

阅读全文

安全文章

哥斯拉源码解读+如何绕过waf检测

前言一个 webshell 工具核心无疑就是三点，webshell 生成，webshell 连接，webshell 利用，那为什么哥斯拉能够在 hw 期间沸沸扬扬，这里我们拆开他的源码来简单分析环境搭...

12月05日10 views评论

阅读全文