parser - 第 7 | CN-SEC 中文网

安全文章

Jpress 远程代码执行漏洞挖掘

0x01 JPress 简介 JPress 是一个使用 Java 开发的、开源免费的建站神器，灵感来源于 WordPress，目前已经有超过 10w+ 的网站使用 JPress 搭建，其...

10月14日99 views评论

阅读全文

安全漏洞

CVE-2023-39361｜Cacti 未经身份验证SQL注入漏洞

0x00 前言Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。Cacti是通过 snmpget来获取数据，使用 RRDtool绘画图形，而且你完全可以不...

09月07日180 views评论

阅读全文

安全新闻

大华智慧园区综合管理平台存在RCE漏洞

漏洞描述大华智慧园区设备开放了文件上传功能，但未在上传的文件类型、大小、格式、路径等方面进行严格的限制和过滤，导致攻击者可以通过构造恶意文件并上传到设备上，然后利用该漏洞获取权限并执行任意命令。FOF...

08月07日282 views评论

阅读全文

代码审计

浅谈 URL 解析与鉴权中的陷阱

最近一段时间都在审计 Java 代码，也算是积累了一些各式各样小技巧，但总感觉不够体系化。因此有必要先停下来，跳出业务逻辑并后退一步，更加深入地思考一下漏洞背后的成因。前言说到 URL 解析，想必关注...

07月29日32 views评论

阅读全文

安全工具

Shellcode 加解密脚本

安装 git clone https://github.com/blacknbunny/Shellcode-Encrypter-Decrypter.git && cd Shellcod...

07月11日26 views评论

阅读全文

安全文章

Visual Studio项目钓鱼

本文由掌控安全学院-camer投稿 0x01 漏洞成因漏洞的形成主要是因为Visual Studio的项目文件（vcxproj）是基于XML格式的，XML文件本身并不包含可执行代码。然而，Visua...

07月09日53 views评论

阅读全文

安全文章

Apache Superset SECRET_KEY 未授权访问漏洞 CVE-2023-27524批量扫描POC

FOFA语法：app="APACHE-Superset"POC代码：from flask_unsign import sessionimport requestsimport urllib3impor...

06月22日95 views评论

阅读全文

安全开发

用python写一款FTP自动化的脚本

使用Python的ftplib库进行FTP文件下载和上传的完整指南免责声明写在前面：内容仅用于学习交流使...

05月31日24 views评论

阅读全文

安全闲碎

聊聊威胁狩猎

概述威胁狩猎是在大数据中反复检索那些逃避传统安全设备的攻击手法，旨在发现未知威胁。大致流程如下：收集数据 - 建立假设 - 工具分析 - 丰富威胁上下文 - 分析自动化威胁狩猎是一个主动的行为。之前团...

05月29日95 views评论

阅读全文

安全文章

CVE-2017-8046 Spring Data REST命令执行漏洞分析

漏洞简介简要说明该漏洞是由于“Spring表达式语言”Spring Expression Language (SpEL) 导致的问题。漏洞原因可以归属于“表达式注入”。影响版本Spring Data ...

05月16日46 views评论

阅读全文

安全文章

原创 | CodeQL与AST之间联系

点击蓝字关注我们前言Part 1为什么要学习Java抽象语法树呢？在计算机科学中，抽象语法树（abstract syntax tree 或者缩写为 AST），或者语法树（synta...

05月11日36 views评论

阅读全文

代码审计

java代码审计-SpEL表达式注入

0x01 前言Spring Expression Language（简称 SpEL）是一种功能强大的表达式语言、用于在运行时查询和操作对象图；语法上类似于Unified EL，但提供了更多的特性，特别...

04月24日53 views评论

阅读全文

Jpress 远程代码执行漏洞挖掘

CVE-2023-39361｜Cacti 未经身份验证SQL注入漏洞

大华智慧园区综合管理平台存在RCE漏洞

浅谈 URL 解析与鉴权中的陷阱

Shellcode 加解密脚本

Visual Studio项目钓鱼

Apache Superset SECRET_KEY 未授权访问漏洞 CVE-2023-27524批量扫描POC

用python写一款FTP自动化的脚本

聊聊威胁狩猎

CVE-2017-8046 Spring Data REST命令执行漏洞分析

原创 | CodeQL与AST之间联系

java代码审计-SpEL表达式注入

在线咨询

微信