intercept - 第 2 | CN-SEC 中文网

移动安全

Frida Hook(9) - 安卓native层hook基础

Frida是一款强大的动态插桩工具，同样可以用于对Android Native层的代码进行Hook。本文将深入探讨Frida在Native层的Hook技术，涵盖基础语法和实际示例，帮助你掌握如何在Na...

08月18日82 views评论

阅读全文

安全文章

一次edu证书站渗透（失败）（补档）

某天上班正在愉快的摸鱼，突然邮箱收到一条消息，定睛一看居然上新了证书这不得摸一手收集了一下资产，收集到了一个这个站点。发现存在swagger接口泄露里面的接口基本都要授权，没啥用，找到了一个越权...

07月26日44 views评论

阅读全文

安全文章

一次edu证书站渗透（失败）

某天上班正在愉快的摸鱼，突然邮箱收到一条消息，定睛一看居然上新了证书这不得摸一手收集了一下资产，收集到了一个这个站点。发现存在swagger接口泄露里面的接口基本都要授权，没啥用，找到了一个越权的接口...

07月25日28 views评论

阅读全文

安全文章

MYSQL JDBC反序列化解析

一、JDBC简介 JDBC（Java DataBase Connectivity）是一种用于执行Sql语句的Java Api，即Java数据库连接，是Java语言中用来规范客户端程序如何来访问数据库的...

07月16日14 views评论

阅读全文

安全文章

红队利用DLL注入绕行的持久性API Hooking

API Hooking is a powerful approach employed by programmers to intercept and alter the behavior of fu...

07月04日18 views评论

阅读全文

安全文章

Apache InLong < 1.12.0 JDBC反序列化漏洞分析(CVE-2024-26579)

漏洞描述Apache InLong 是开源的高性能数据集成框架，用于业务构建基于流式的数据分析、建模和应用。受影响版本中，由于 MySQLSensitiveUrlUtils 类只限制了?形式的JDBC...

06月03日37 views评论

阅读全文

代码审计

大华智慧园区综合管理平台代码审计

前言在23年 HW 期间大华智慧园区综合管理平台爆出来了非常多的漏洞，本着学习的心态来看看漏洞成因 FOFA：body="/WPMS/asset/lib/gridster/" 代码审计...

06月03日42 views评论

阅读全文

安全文章

【实战】某友文件上传漏洞分析

某友，不（敢）多说。本文对前段时间热传的文件上传漏洞的成因做简单的分析（要是没看过，当我没说）。代码分析常规操作把源码导入idea 将对应lib下的jar文件添加为库简单过一下web.xml，...

05月29日34 views评论

阅读全文

HW&HVV

某地级攻防总结

前言：很久没写文章了，最近刚结束一场攻防，也都是靠nday打下了不少点，简单写一下外网的几个案例被动扫描工具：这里先推荐一下自己常用的几个burp插件：HAE：能够通过正则匹配到数据包中敏感的信息，例...

04月14日196 views评论

阅读全文

安全新闻

微软将OPENAI的DALL-E作为美国军方的战场工具

根据THE INTERCEPT审查的内部演示材料，微软去年提议使用OpenAI非常流行的图像生成工具DALL-E来帮助国防部构建执行军事行动的软件。这一消息是在OpenAI悄然结束对军事工作的禁令几个...

04月12日10 views评论

阅读全文

安全文章

Spring中getRequestURI与getRequestURL权限绕过

01—检测代码在Filter和Interceptor对某些URI进行权限校验,使用getRequestURI和getRequestURL则可能存在权限校验漏洞原理：请求URL中可以填充一些特殊字符，来...

02月29日65 views评论

阅读全文

代码审计

海康安防iSecure系统代审

0x01 前言最近也是专研代审一段时间，也是发现要走的路很长很长。本篇所用的java方法我已经在上一篇写到，如有不足之处请见谅。0x02 路由分析java源码中，...

02月21日95 views评论

阅读全文