lookup - 第 3 | CN-SEC 中文网

代码审计

log4j2远程代码执行漏洞原理

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！log4j2漏洞原理？CVE-2021-44228，简称：log4j2，利用漏洞可以执行任意命令。该漏洞影响所有 log4j2 受影响的版本，...

05月13日32 views评论

阅读全文

CTF专场

高JDK的JNDI绕过之复现某比赛0解题

扫码领资料获网安教程前言本篇文章首发在先知社区作者Zjacky(本人) 先知社区名称: Zjacky 转载原文链接为https://xz.aliyun.com/t/13793诶呀这玩意学了蛮久了真的...

04月28日12 views评论

阅读全文

安全文章

深入了解JNDI安全

JNDI JNDI（全称Java Naming and Directory Interface）是用于目录服务的Java API，它允许Java客户端通过名称发现和查找数据和资源(以Java对象的形式...

03月16日18 views评论

阅读全文

供应链安全

SCA 技术进阶系列(五): 揭秘运行时SCA-新视角下的供应链安全革新

目录一、静态 SCA 工具的“警报疲劳” 二、运行时 SCA - 供应链安全新视角三、运行时 SCA 实践方案四、结语本文字数：5188 ，阅读时长：13分钟一、静态SCA工具的“警报疲劳”...

02月23日69 views评论

阅读全文

安全文章

漏洞环境搭建及log4j2简单复现

Part1 前言 0x01 Vulfocus Vulfocus是一个漏洞集成平台，将docker 漏洞镜像，放入即可使用，开箱即用的平台，可以用于漏洞复现，POC验证，EXP验证，快速搭建启动...

01月10日54 views评论

阅读全文

代码审计

太阿静态分析检测Log4Shell

0x01 Tai-e 的污点分析方案Java 污点分析（追踪污点数据流）最令人头疼的两个难点：别名关系和动态反射。Tai-e 污点分析提出一个基于指针分析的架构，来解决别名分析和反射分析两个问题。解决...

01月04日46 views评论

阅读全文

安全工具

一款针对PowerToys Run的网络安全快速查询和分析工具-Quick-Lookup-ptrun

关于Quick-Lookup-ptrun Quick-Lookup-ptrun是一款针对PowerToys Run的网络安全快速查询和分析工具，该工具是一款专为PowerToys Run设计的插件，可...

12月23日51 views评论

阅读全文

代码审计

代码审计:jar-analyzer 分析漏洞 Apache Commons Text RCE

争取B站每周更新！文章投稿来自uname 。Jar Analyzer 是一个分析 Jar 文件的 GUI 工具：支持大 Jar 以及批量 Jars 分析方便地搜...

12月04日21 views评论

阅读全文

安全文章

使用JDK类绕过TemplatesImpl黑名单

0x00 介绍一次挖洞过程中，遇到了 TemplatesImpl resolveClass 黑名单，后来想起 RWCTF 中的一道题目，成功绕过该黑名单。于是和大家分享这个思路，并编写了对应的环境和靶...

09月10日79 views评论

阅读全文

安全开发

Magic In Java API 学习记录

前言这篇文章主要是对yemoli和R1ckyZ在KCON2023中的议题《Magic In Java API》的一次学习记录对应的slide可以在https://github.com/knownsec...

09月07日57 views评论

阅读全文

安全文章

Web渗透之信息收集——撩妹篇（上）

前言在这大千世界中，总有让你心动的目标。当你偶然遇见一位心动的美女，不用我说那内心的小鹿肯定开始乱撞，冰封已久的冰山开始融化。想要把小姐姐追到手，需要一步步来。首先要进行信息收集，需要知道他的个人信息...

07月24日65 views评论

阅读全文

【漏洞预警】Linux Kernel 权限提升漏洞威胁通告

1. 通告信息近日，安识科技A-Team团队监测到Linux Kernel 权限提升漏洞（CVE-2023-31248）的漏洞细节及PoC/EXP在互联网上公开，该漏洞的CVSS评分为7.8...

07月19日安全漏洞49 views评论

阅读全文

在线咨询

微信