parse - 第 2 | CN-SEC 中文网

安全文章

Java反序列化漏洞 | Fastjson反序列化漏洞原理+漏洞复现

扫码加圈子获内部资料网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。0x1 前言Fastjson反序列化漏洞也是一个知名...

02月10日29 views评论

阅读全文

安全文章

Xxl-job Hessian2 反序列化分析

环境搭建主要是服务端和执行端的两个端口，如果与本地端口冲突的话直接改一下端口号即可，还有就是数据库的账号密码配置在这里即可，启动调试，运行XxlJobAdminApplication，XxlJobEx...

02月09日21 views评论

阅读全文

CTF专场

2025春秋杯网络安全联赛冬季赛-部分misc

前言由于这几天和其他比赛冲突了，没有当场做，结束后容器不能起了，所以web题没有做，这里只记录几个misc题。1、See anything in these pics?题目内容：TBH THERE A...

01月22日51 views评论

阅读全文

安全文章

逻辑漏洞挖掘案例

/*本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。*/补天某企业src33363338333733343...

01月15日18 views评论

阅读全文

安全文章

难绷，一种重命名+符号链接禁用EDR（Crowdstrike）的方法

最近看到的一个项目：https://github.com/rad9800/FileRenameJunctionsEDRDisable #include <windows.h>#includ...

01月14日32 views评论

阅读全文

代码审计

【代码审计】thinkphp3.2.3 SQL注入

今天学习手tp3.2.3的sql注入漏洞0x00预先准备先从github下载下thinkphp3.2.3的代码https://github.com/top-think/thinkphp/archive...

01月11日17 views评论

阅读全文

安全新闻

巴基斯坦手机号获取个人信息接口

两周前，0kraven发现了一个可以通过92开头的巴基斯坦手机号获取用户对应的身份信息数据接口脚本，看了下各类评论，覆盖率很高，脚本中使用的接口站点如下：成品github地址查询脚本：https://...

01月10日42 views评论

阅读全文

安全文章

WAF绕过 | 记一次实战中对Fastjson waf的绕过

原文链接：https://xz.aliyun.com/t/15602 作者：1341025112991831 0x1 前言最近遇到一个fastjson的站，很明显是有fastjson漏洞...

01月09日17 views评论

阅读全文

安全文章

防范XXE漏洞：XXE攻击详解与应对策略

一、XXE 漏洞概述XML（可扩展标记语言）是一种用于标记电子文件的结构化语言，它能够对数据进行标记并定义数据类型。XML允许用户自定义标记语言，因此在数据交换和存储中被广泛使用。1.1 XML 文档...

01月03日47 views评论

阅读全文

安全文章

蓝凌OA未授权分析

漏洞描述蓝凌OA未授权导致RCE。漏洞分析首先根据POC中地址定位文件‍定位JSP文件，根据URL以及路径+参数等综合定位，得到其对应的JSP文件这里获取 s_bean 参数，然后循环，调用 getB...

01月02日12 views评论

阅读全文

安全文章

CodeQL之前置知识AST生成过程

JCTree官方文档语法树是从JCTree实现com.sun.source.Tree的子类型及其子类型构建的今天主要是深入看下AST的数据结构，方便以后更好的处理AST数据。先找到JCTree(co...

01月02日5 views评论

阅读全文

代码审计

Java反序列化基础-fastjson反序列化漏洞原理分析fastjson利用条件分析

/ 零、写在前面 / 好久没更新了，后台好多私信最近都没看，有加群的和要源码的师傅的私信都没看到，以后尽力每周回复大家一次消息，入群的二维码放在了文章末尾，为了防止广告还是收费1元（只有二维码部分付费...

01月02日7 views评论

阅读全文

Java反序列化漏洞 | Fastjson反序列化漏洞原理+漏洞复现

Xxl-job Hessian2 反序列化分析

2025春秋杯网络安全联赛冬季赛-部分misc

逻辑漏洞挖掘案例

难绷，一种重命名+符号链接禁用EDR（Crowdstrike）的方法

【代码审计】thinkphp3.2.3 SQL注入

巴基斯坦手机号获取个人信息接口

WAF绕过 | 记一次实战中对Fastjson waf的绕过

防范XXE漏洞：XXE攻击详解与应对策略

蓝凌OA未授权分析

CodeQL之前置知识AST生成过程

Java反序列化基础-fastjson反序列化漏洞原理分析fastjson利用条件分析

在线咨询

微信