inputstream - 第 2 | CN-SEC 中文网

安全文章

记一次20000美元的漏洞挖掘报告(HackOne)

01 记一次20000美元的漏洞挖掘报告 Enjoy life A HAPPY LIFE AFTER RAIN 01 漏洞点1： “com.sony.gemstack.org.dvb.user.Use...

12月03日23 views评论

阅读全文

安全漏洞

小米设备存在的几个命令执行漏洞已提交修复

下文来源：oversecured.com系统跟踪应用程序的过度安全扫描报告包含以下漏洞：com.android.traceur系统跟踪应用程序的过度安全扫描报告包含以下漏洞：com.android...

10月28日34 views评论

阅读全文

代码审计

Java Web审计中常见的任意文件操作绕过缺陷

0x00 前言在 Java Web 应用程序中，任意文件操作是一个很常见的安全漏洞，它允许攻击者通过操纵应用程序来访问服务器上的文件。这种漏洞通常是由于应用程序对用户输入的文件路径参数处理不当导致的。...

10月11日38 views评论

阅读全文

安全文章

红队必备知识：哥斯拉流量魔改以及模板生成

JSP这是哥斯拉默认加密方法AES_RAW，加解密流程读取data-AES解密-AES加密-发送data其中的xc 也就是aes加密的密钥，就是哥斯拉pass+key的md5编码<%! Str...

10月09日37 views评论

阅读全文

安全文章

基于SPI的Java插件技术-加载指定插件

之前的文章《基于SPI的Java插件技术》有说这里的缺点：“虽然ServiceLoader也算是使用的延迟加载，但是基本只能通过遍历全部获取，也就是接口的实现类全部加载并实例化一遍。如果你并不想用某些...

09月28日17 views评论

阅读全文

代码审计

URLDNS反序列化利用链

一漏洞复现实验环境◆DNSLog：http://ceye.io◆Java序列化payload生成：https://github.com/0ofo/Deswing◆JDK1.8复现步骤1. 先在DNSL...

09月13日17 views评论

阅读全文

安全文章

ysoserial-调试分析

前言本篇文章分析调试的是URLDNS以及CommonCollections系列 URLDNSURLDNS作为ysoserial系列最基础的链，作用还是蛮大的.具体作用如下：判断当前环境是否存在反序列...

08月18日9 views已关闭评论

阅读全文

代码审计

帆软反序列化分析

这段常态化时期，每天都整理和学习历年能打穿小朋友的漏洞，本文转载自 https://xz.aliyun.com/t/13389 这篇文章是关于FineBI软件中的反序列化漏洞的分析。以下是对文章内容的...

07月31日37 views评论

阅读全文

代码审计

第四课-系统学习代码审计：命令执行漏洞讲解

命令注入命令执行漏洞是有些代码中需要调用到系统命令，当系统命令代码未对用户可控参数做过滤，则当用户能控制相和谐函数的参数的时候就可以把恶意命令把拼接正常命令中造成命令执行攻击。在Java中，...

07月18日25 views评论

阅读全文

安全工具

实战分享：用Yak-yso解决一些常见问题

有同学常常使用yak-yso生成的时候，不关注java版本而使用了默认的（默认52也就是JDK1.8），会导致有些情况下，某些链子打不通的情况。（原因是：当版本进行升级的时候，有些内置函数、方法、接口...

07月15日35 views评论

阅读全文

CTF专场

R3CTF r3gallery 题解

本题考点如下： canonicalPath路径穿越、file://前缀ftp协议利用反序列化触发getConnection derby-client jdbc任意文件写入比赛的时候卡在一个很蠢的问...

06月22日12 views评论

阅读全文

安全漏洞

安达通TPN-2G安全网关信息泄露漏洞

0x00 漏洞编号暂无 0x01 危险等级高危 0x02 漏洞概述安达通TPN-2G安全网关是一种网络安全产品，通常用于保护企业网络免受各种网络威胁的侵害。包括防火墙、入侵检测和防御系统、虚拟专用...

05月31日34 views评论

阅读全文

记一次20000美元的漏洞挖掘报告(HackOne)

小米设备存在的几个命令执行漏洞已提交修复

Java Web审计中常见的任意文件操作绕过缺陷

红队必备知识：哥斯拉流量魔改以及模板生成

基于SPI的Java插件技术-加载指定插件

URLDNS反序列化利用链

ysoserial-调试分析

帆软反序列化分析

第四课-系统学习代码审计：命令执行漏洞讲解

实战分享：用Yak-yso解决一些常见问题

R3CTF r3gallery 题解

安达通TPN-2G安全网关信息泄露漏洞

在线咨询

微信