mapping | CN-SEC 中文网

安全文章

Java安全之Spring框架内存马技术总结

目录一.RING MVC 工作原理1.1 DispatcherServlet1.2 ContextLoaderListener1.3 ApplicationContext1.4 内存马构造思路二....

03月10日8 views评论

阅读全文

安全文章

洞态IAST对SpringBoot项目扫描API接口的实现方法

1►前言洞态 IAST 团队开发项目API导航功能。本文以SpringBoot项目为例，对其进行所有API接口的扫描。2►环境jdk11SpringBoot2.x3►原理1.找到SpringBoot所...

02月24日17 views评论

阅读全文

安全文章

Spring内存马合集

前言前面学了Tomcat的Servlet和Filter内存马，然后学了几天的spring，审了一个程序，就继续顺便把内存马的东西弄完吧。前面说到Servlet和Filter内存马其实都是在配置文件中...

02月16日12 views评论

阅读全文

安全文章

[技术分享]一次实战中的权限绕过

免责声明本公众号所发布的所有内容，包括但不限于信息、工具、项目以及文章，均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息，侵权...

01月11日7 views评论

阅读全文

代码审计

蓝凌EKP V16 未授权SQL注入漏洞分析

本地测试环境版本：V16.0.6.R.20220729 漏洞分析漏洞路径在：/fssc/common/fssc_common_portlet/fsscCommonPortlet.do，对应的Acti...

12月24日110 views评论

阅读全文

安全文章

Apache Tomcat 最新RCE 稳定复现+分析保姆级！！！附复现视频+POC

#首先感谢Btwlon、阿呆攻防公众号主两位师傅的耐心答复！ #WingBy小密圈知识星球简介在文末。前言最近爆出 Apache Tomcat条件竞争导致的RCE，影响范围当然是巨大的，公司也及时...

12月19日19 views评论

阅读全文

安全开发

JNDI利用分析魔改

前言实战中遇到log4j2漏洞，并且不出网，在内网另一台获得权限的主机上上传JNDIBypassExploit注入工具进行利用，在注入内存马的时候感觉不太方便，于是对该工具的代码进行学...

11月12日11 views评论

阅读全文

安全文章

智能合约漏洞入门（7）- 调用注入

名称：不安全调用漏洞描述：在TokenWhale合约的approveAndCallcode函数中。该漏洞允许执行任意调用，带有任意数据，导致潜在的安全风险和意外后果。该函数使用低级调用(_spend...

06月22日9 views评论

阅读全文

安全文章

Fuzzing在Java漏洞挖掘中的应用

前段时间 ecology 密集发布了一系列补丁，修复几个笔者之前储备的 0day，本文就来介绍其中一个列比较有意思的，以及分享一下相关的挖掘思路。背景最近几个月笔者都在研究 Java Web 方向，一...

05月19日15 views评论

阅读全文

安全漏洞

【漏洞复现】时空智友漏洞Login任意文件读取

声明该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文...

05月14日81 views评论

阅读全文

安全文章

SpringWeb内存马变型

• 一、前言• 二、路由分析• 2.1 获取HandlerExecutionChain• 2.2 获取HandlerAdapter• 2.3 执行• 2.4 路由俯瞰图• 三、变型• 3.1 获取Di...

02月14日18 views评论

阅读全文

安全漏洞

【漏洞预警】用友NC及NC Cloud系统registerServletJNDI漏洞

漏洞详情:NC及NC Cloud系统中对于POST请求内容的未作校验且未作安全配置，直接传入ReadObject方法中解析，导致反序列化漏洞。厂商：用友网络科技股份有限公司影响产品：用友NC用友NC ...

02月09日162 views评论

阅读全文

Java安全之Spring框架内存马技术总结

洞态IAST对SpringBoot项目扫描API接口的实现方法

Spring内存马合集

[技术分享]一次实战中的权限绕过

蓝凌EKP V16 未授权SQL注入漏洞分析

Apache Tomcat 最新RCE 稳定复现+分析保姆级！！！附复现视频+POC

JNDI利用分析魔改

智能合约漏洞入门（7）- 调用注入

Fuzzing在Java漏洞挖掘中的应用

【漏洞复现】时空智友漏洞Login任意文件读取

SpringWeb内存马变型

【漏洞预警】用友NC及NC Cloud系统registerServletJNDI漏洞

在线咨询

微信