parse | CN-SEC 中文网

Spring MVC + FastJSON：反序列化攻击是怎么一步步发生的？

🧠 Spring MVC 是怎么悄咪咪地调用了 FastJSON 来反序列化的？🌟 一句话总结：你只写了一句 @RequestBody Object data，Spring 就自动帮你用 FastJS...

04月25日代码审计8 views评论

阅读全文

FastJSON + MQ 实现反序列化漏洞攻击链

🚨 利用 FastJSON + MQ 实现反序列化漏洞攻击链在现代微服务架构中，消息中间件（如 Kafka、RocketMQ、RabbitMQ）被广泛用于服务解耦与异步通信。然而，这也带来了新的攻击面...

04月25日代码审计4 views评论

阅读全文

渗透测试 FastJSON 是个延时炸弹？

💥 为什么 FastJSON 漏洞不是在 parse() 阶段触发，而是在 toString() 等方法中爆发？在渗透测试中，FastJSON 的反序列化漏洞是一个“老面孔”了。但很多新手刚开始接触时...

04月25日安全文章8 views评论

阅读全文

安全文章

全网最全！FastJSON 静态规则图鉴，写了就能查！

🧠 FastJSON 静态代码分析规则大全🎯 在审计时如何快速定位关键位置，可以使用下面的正则来查询，适用于 Java 代码安全审计场景，辅助你快速检测✅ 1：检测是否显式开启 AutoType🎯 正...

04月25日8 views评论

阅读全文

安全文章

通过英特尔 ShaderCache 目录绕过 UAC

我得承认，我的 Discord 服务器启发了我最近对一种新发现的 UAC 绕过方法的研究！😸 我在 Discord 服务器上看到很多关于权限提升的讨论，这让我很想研究一些比较新的 UAC 绕过方法。我...

04月25日6 views评论

阅读全文

SpEL 表达式注入漏洞

声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。请大家关注公众号支持，不定期有宠粉福利Par...

04月24日安全文章13 views评论

阅读全文

安全漏洞

HFS2.3远程代码执行(CVE-2024-23692 )漏洞

免则声明：本公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权转载和其他公众号白名单转载，如需转载，联系作者开白。文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其...

04月24日18 views评论

阅读全文

一文看懂 JSON.parse 背后的安全隐患与黑盒利用方法

一文看懂 JSON.parse 背后的安全隐患与黑盒利用方法🔍 一段简单的 JSON 解析代码，可能是一次严重的原型污染、提权绕过、服务瘫痪的开始。本文深入解析 JSON.parse() 的安全风险、...

04月23日安全文章10 views评论

阅读全文

开发者注意！Vite框架曝高危漏洞，你的项目受影响了吗？（含poc和批量脚本）

声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，淮橘安全及文章作者不为此承担任何责任。现在只对常读和星标的公众号才展...

04月23日安全漏洞9 views评论

阅读全文

安全闲碎

Windows 下Git Bash的目录转换

在Windows下使用Git带的Bash环境，在处理C盘、D盘这种路径时，会涉及到路径转换。比如 C: 会映射成 /c ，D: 会映射成 /d，通过 df 命令也可以看到这种映射关系。这种映射关系一直...

04月18日5 views评论

阅读全文

安全文章

Webshell免杀思路-PHP篇-1：经典混淆的艺术

Webshell免杀，本质上就是利用一些技巧，让引擎无法正常识别你的意图，或者认为你是一个正常的文件，所以本文的思路也是在，让引擎无法"识别"，但是又能正常执行（PS: 本文只是介绍免杀的绕过，针对流...

04月16日15 views评论

阅读全文

安全文章

漏洞分析 | Apache Skywalking的log4shell分析

朋友们，现在只对常读和星标的公众号才展示大图推送，建议大家把杂七杂八聊安全“设为星标”，否则可能就看不到了啦~0x01 触发点位置graphql.GraphQL#parseAndValidate调用堆...

04月15日6 views评论

阅读全文

Spring MVC + FastJSON：反序列化攻击是怎么一步步发生的？

FastJSON + MQ 实现反序列化漏洞攻击链

渗透测试 FastJSON 是个延时炸弹？

全网最全！FastJSON 静态规则图鉴，写了就能查！

通过英特尔 ShaderCache 目录绕过 UAC

SpEL 表达式注入漏洞

HFS2.3远程代码执行(CVE-2024-23692 )漏洞

一文看懂 JSON.parse 背后的安全隐患与黑盒利用方法

开发者注意！Vite框架曝高危漏洞，你的项目受影响了吗？（含poc和批量脚本）

Windows 下Git Bash的目录转换

Webshell免杀思路-PHP篇-1：经典混淆的艺术

漏洞分析 | Apache Skywalking的log4shell分析

在线咨询

微信