name - 第 22 | CN-SEC 中文网

安全漏洞

Django SQL injection CVE-2022-28346 analysis

前言最近在看CNVD时无意间看到两条关于Django的最新漏洞通告,随即打开看了一下.大概意思是说Django在2.2.28 版本之前的2.2版本、3.2.13版本之前的3.2版本、4.0.4版本之前...

05月05日498 views评论

阅读全文

代码审计

反序列化学习 -- JavaScriptSerializer

JavaScriptSerializer是微软内部自带的api，可以在对象和json字符串之前来回转换。其命名空间位于System.Web.Script.Serialization，结构如下：demo...

05月05日29 views评论

阅读全文

安全文章

浅谈JNDI利用

本文来学习JNDI注入，在此之前，先介绍一下JNDI是什么？ JNDI是一个接口，在这个接口下会有多种目录系统服务的实现，我们能通过名称等去找到相关的对象，并把它下载到客户端中来。&nb...

05月04日54 views评论

阅读全文

gitlab漏洞系列-项目中的Guest用户越权看到TEST用例

背景复现步骤声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。背景 ashish_r_pad...

05月04日安全文章44 views评论

阅读全文

代码审计

反序列化学习笔记（二）

XmlSerializer 类XmlSerializer是微软自带的序列化类，用于在xml字符串和对象之间相互转化。其命名空间：System.Xml.Serialization，程序集为：System...

05月04日39 views评论

阅读全文

代码审计

Java无所不能的反射-URLDNS链分析

打算学习cc链的知识，一边记笔记，一边分析出来，大家可以一起学习。我参考的视频是 B站的白日梦组长在安全中，java反射起到很大的作用。让...

05月03日31 views评论

阅读全文

应急响应

建议收藏 | linux&windows应急响应（完善版）

点击蓝字关注我们声明本文作者：CKCsec安全研究院本文字数：5329阅读时长：20 分钟项目/链接：文末获取本文属于【CKCsec安全研究院】原创文章，未经许可禁止转载我完善了...

05月03日31 views评论

阅读全文

JS基本功系列-DOM小结

DOM小结 1.只有getElementById是Element单数,其余为复数;1.getElementById,getElementsByName只有Document.prototype才有!!!...

05月02日安全开发44 views评论

阅读全文

安全文章

[有手就行]半天打穿某高校

前言记录下某年某省HW期间，一个上午“打穿”某还算不错的高校的经历。过程中只用到很简单的方法，所以加了个标题“有手就行”。文中内容已做脱敏处理，渗透过程已获得授权, 相关漏洞也已经修复。所介绍方法请勿...

05月02日66 views评论

阅读全文

安全文章

看我如何突破JFinal黑名单机制实现任意文件上传

引言JFinal是国产优秀的web框架，短小精悍，强大且易于使用。近期团队内一名小伙伴（LuoKe）在安全测试的时候报了一个很玄学的任意文件上传，笔者本着知其然必知其所以然的态度去跟进了一下问题代码，...

05月01日177 views评论

阅读全文

安全文章

实战 | 一次观看YouTube视频，收获一枚价值4300美金的SQL注入

扫码领资料获黑客教程免费&进群随这篇文章是关于我在 HackerOne 上的一个私人程序上的发现之一。由于这是一个私人程序，因此我进行了某些修改以防止泄露任何敏感信息。这是我的第一篇文章，如有...

05月01日106 views评论

阅读全文

安全文章

Fastjson反序列化汇总-上篇

Fastjson简介Fastjson是Alibaba开发的Java语言编写的高性能JSON库，用于将数据在JSON和Java Object之间互相转换，提供两个主要接口JSON.toJSONStrin...

05月01日132 views评论

阅读全文

Django SQL injection CVE-2022-28346 analysis

反序列化学习 -- JavaScriptSerializer

浅谈JNDI利用

gitlab漏洞系列-项目中的Guest用户越权看到TEST用例

反序列化学习笔记（二）

Java无所不能的反射-URLDNS链分析

建议收藏 | linux&windows应急响应（完善版）

JS基本功系列-DOM小结

[有手就行]半天打穿某高校

看我如何突破JFinal黑名单机制实现任意文件上传

实战 | 一次观看YouTube视频，收获一枚价值4300美金的SQL注入

Fastjson反序列化汇总-上篇

在线咨询

微信