🧠 Spring MVC 是怎么悄咪咪地调用了 FastJSON 来反序列化的?🌟 一句话总结:你只写了一句 @RequestBody Object data,Spring 就自动帮你用 FastJS...
FastJSON + MQ 实现反序列化漏洞攻击链
🚨 利用 FastJSON + MQ 实现反序列化漏洞攻击链在现代微服务架构中,消息中间件(如 Kafka、RocketMQ、RabbitMQ)被广泛用于服务解耦与异步通信。然而,这也带来了新的攻击面...
渗透测试 FastJSON 是个延时炸弹 ?
💥 为什么 FastJSON 漏洞不是在 parse() 阶段触发,而是在 toString() 等方法中爆发?在渗透测试中,FastJSON 的反序列化漏洞是一个“老面孔”了。但很多新手刚开始接触时...
全网最全!FastJSON 静态规则图鉴,写了就能查!
🧠 FastJSON 静态代码分析规则大全🎯 在审计时如何快速定位关键位置,可以使用下面的正则来查询,适用于 Java 代码安全审计场景,辅助你快速检测✅ 1:检测是否显式开启 AutoType🎯 正...
通过英特尔 ShaderCache 目录绕过 UAC
我得承认,我的 Discord 服务器启发了我最近对一种新发现的 UAC 绕过方法的研究!😸 我在 Discord 服务器上看到很多关于权限提升的讨论,这让我很想研究一些比较新的 UAC 绕过方法。我...
SpEL 表达式注入漏洞
声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。请大家关注公众号支持,不定期有宠粉福利Par...
HFS2.3远程代码执行(CVE-2024-23692 )漏洞
免则声明:本公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权转载和其他公众号白名单转载,如需转载,联系作者开白。文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其...
一文看懂 JSON.parse 背后的安全隐患与黑盒利用方法
一文看懂 JSON.parse 背后的安全隐患与黑盒利用方法🔍 一段简单的 JSON 解析代码,可能是一次严重的原型污染、提权绕过、服务瘫痪的开始。本文深入解析 JSON.parse() 的安全风险、...
开发者注意!Vite框架曝高危漏洞,你的项目受影响了吗?(含poc和批量脚本)
声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,淮橘安全及文章作者不为此承担任何责任。现在只对常读和星标的公众号才展...
Windows 下Git Bash的目录转换
在Windows下使用Git带的Bash环境,在处理C盘、D盘这种路径时,会涉及到路径转换。比如 C: 会映射成 /c ,D: 会映射成 /d,通过 df 命令也可以看到这种映射关系。这种映射关系一直...
Webshell免杀思路-PHP篇-1:经典混淆的艺术
Webshell免杀,本质上就是利用一些技巧,让引擎无法正常识别你的意图,或者认为你是一个正常的文件,所以本文的思路也是在,让引擎无法"识别",但是又能正常执行(PS: 本文只是介绍免杀的绕过,针对流...
漏洞分析 | Apache Skywalking的log4shell分析
朋友们,现在只对常读和星标的公众号才展示大图推送,建议大家把杂七杂八聊安全“设为星标”,否则可能就看不到了啦~0x01 触发点位置graphql.GraphQL#parseAndValidate调用堆...