parse - 第 5 | CN-SEC 中文网

代码审计

JAVA_Fastjson

0x00前言Fastjson 是 Alibaba 开发的 Java 语言编写的高性能 JSON 库，用于将数据在 JSON 和 Java Object 之间互相转换提供两个主要接口来分别实现序列化和反...

10月16日16 views评论

阅读全文

安全文章

扫描器解析日记之目标探测

开发和代码是作为一名安全人员不可或缺的能力，而我们现在学习就可以以前人开发的工具入手，学习其代码逻辑，设计理念等等。从而写出更好的属于自己的工具。本篇文章以几款扫描器为例，分析其前期对目标探测的模块进...

10月09日12 views评论

阅读全文

安全新闻

新的 Python URL 解析漏洞可能导致命令执行攻击

Python URL 解析函数中的一个高严重性安全漏洞已被披露，该漏洞可绕过 blocklist 实现的域或协议过滤方法，导致任意文件读取和命令执行。CERT 协调中心（CERT/CC）在周五的一份公...

10月07日26 views评论

阅读全文

安全漏洞

CVE-2023-38646 Metabase 远程命令执行漏洞复现以及原创利用工具

0x00 团队声明Disclaimer该漏洞为我团队漏洞监测平台发现，请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负...

09月28日45 views评论

阅读全文

代码审计

迷你天猫商城审计

准备阶段迷你天猫商城是一个基于Spring Boot的综合性B2C电商平台贤趣开发小组/SpringBoot迷你天猫商城（Mini-Tmall）环境要求：1、Windows 10系统。2、Java版本...

09月26日25 views评论

阅读全文

安全工具

ciscoconfparse2：一款针对思科IOS风格配置的安全审计工具

关于ciscoconfparse2 ciscoconfparse2是一款针对思科IOS风格配置的安全审计工具，该工具是一个Python库，可以帮助广大研究人员快速解析、审计、查询、构建和修改 Aris...

09月22日29 views评论

阅读全文

安全文章

记一次实战中对fastjson waf的绕过

最近遇到一个fastjson的站，很明显是有fastjson漏洞的，因为@type这种字符，fastjson特征很明显的字符都被过滤了.于是开始了绕过之旅，顺便来学习一下如何waf。文章作者：先知社区...

09月21日81 views评论

阅读全文

安全文章

ThinkPHP5路由rce漏洞分析

ThinkPHP5路由rce漏洞分析使用的版本是tp5.0.18https://github.com/top-think/framework/releases/tag/v5.0.18https://g...

09月15日27 views评论

阅读全文

安全开发

Fastjson反序列化利用链分析

一实验环境◆jdk1.8◆windows10pom依赖 <dependency> <groupId>com.alibaba</groupId> <artifa...

08月31日21 views评论

阅读全文

安全文章

Fastjson分析系列1.2.22-1.2.24反序列化漏洞分析

前言本文为Fastjson1.2.22-1.2.24反序列化漏洞分析。主要利用链分为基于TemplateImpl的利用链和基于JdbcRowSetImpl的利用链 TemplateImpl利用链 ...

08月18日12 views已关闭评论

阅读全文

安全博客

ThinkPHP 3.X / 5.X order by 注入

概述在 ThinkPHP 5.1.23 之前的版本中存在 SQL 注入漏洞，该漏洞是由于程序在处理 order by 后的参数时，未正确过滤处理数组的 key 值所造成。如果该参数用户可控，且当传递的...

08月18日7 views评论

阅读全文

安全文章

奇葩逻辑漏洞分享之虚假的 JWT 认证

场景再现API 接口使用了 JWT Token 认证，且返回了大量敏感信息：当 JWT Token 不正确的时候，不能返回信息，提示没权限：目前看上去一切正常，很合理：但是，下面问题来了，我们把 J...

08月12日20 views评论

阅读全文

JAVA_Fastjson

扫描器解析日记之目标探测

新的 Python URL 解析漏洞可能导致命令执行攻击

CVE-2023-38646 Metabase 远程命令执行漏洞复现以及原创利用工具

迷你天猫商城审计

ciscoconfparse2：一款针对思科IOS风格配置的安全审计工具

记一次实战中对fastjson waf的绕过

ThinkPHP5路由rce漏洞分析

Fastjson反序列化利用链分析

Fastjson分析系列1.2.22-1.2.24反序列化漏洞分析

ThinkPHP 3.X / 5.X order by 注入

奇葩逻辑漏洞分享之虚假的 JWT 认证

在线咨询

微信