policy | CN-SEC 中文网

代码审计

Java 安全 | SecurityManager

SecurityManager前言对于 SecurityManager 来说, 在读底层源码时经常会遇到它, 但从没仔细研究它是用来干嘛的, 以及之前在 RMI 学习时也曾主动配置过 Security...

06月07日17 views评论

阅读全文

安全文章

SRC挖掘之302跳转登录劫持

这种令牌劫持攻击方式必须保证在点击"登录"后发送的ticket或token凭证位置处于url链接上才行，也就是只支持get类型的劫持。①正常访问该网站进行登录时链接长这样：https://m.baox...

06月07日10 views评论

阅读全文

CTF专场

D^3CTF 2025 Writeup by Nepnep

队伍名称：Nepnep最终排名：6th感谢队里师傅们的辛苦付出！如果有意加入我们团队的师傅，欢迎发送个人简介至：[email protected]/api/genST...

06月05日5 views评论

阅读全文

安全文章

AWS云渗透入门到精通：系统化学习框架

第一部分：基础入门篇 - AWS云安全核心概念1. AWS安全架构基础责任共担模型深度解析IAM（身份与访问管理）核心机制安全组与网络ACL实战对比AWS全局基础设施安全边界2. 渗透测试环境搭建AW...

06月02日31 views评论

阅读全文

安全漏洞

CVE-2025-5277：AWS MCP 服务器中的命令注入漏洞

漏洞描述：AWS MCP 服务器（可能与 Amazon Q Developer CLI 相关）存在一个命令注入漏洞，允许客户端通过 CLI 提示（prompt）在 AWS 主机系统上执行任意命令。影响...

06月01日38 views评论

阅读全文

AI 赋能漏洞变种分析：从已知到未知，Hacktron 发现 Ivanti EPMM 新攻击向量的启示

AI 赋能漏洞变种分析：从已知到未知，Hacktron 发现 Ivanti EPMM 新攻击向量的启示漏洞原文https://www.hacktron.ai/blog/posts/ivanti-epm...

05月26日安全新闻19 views评论

阅读全文

OSS 签名绕过上传任意文件到别人的网站

OSS 的签名直传签名一般长这样{ "accessid": "MlLTAI5Zt...", "host": "https://oss-cn-shanghai.aliyuncs.com", ...

05月15日安全文章15 views评论

阅读全文

安全文章

基于K8s日志审计实现攻击行为检测

K8s日志审计以一种事件溯源的方式完整记录了所有API Server的交互请求。当K8s集群遭受入侵时，安全管理员可以通过审计日志进行攻击溯源，通过分析攻击痕迹，找到攻击者的入侵行为并还原攻击者的攻击...

04月21日27 views评论

阅读全文

安全漏洞

H3C多系列路由器存在任意用户登录漏洞 POC

一、漏洞简介 H3C 企业路由器(ERN ERG2N GR 系列》存在任意用户登录和命令执行漏洞，攻击者可通过访问nserLog in.asp/actionpalicy_status1./xxxx....

04月13日91 views评论

阅读全文

【在野利用】Ivanti 多款产品堆缓冲区溢出漏洞(CVE-2025-22457)

↑点击关注，获取更多漏洞预警，技术分享0x01 组件介绍Ivanti Connect Secure，Ivanti Policy Secure和Ivanti Neurons for ZTA gatewa...

04月10日安全漏洞32 views评论

阅读全文

安全漏洞

Ivanti Ivanti Connect Secure 缓冲区溢出可导致远程代码执行CVE-2025-22457

漏洞描述:Ivanti发布安全公告,修复了影响Ivanti Connect Secure、Ivanti Pulse Connect Secure 等产品的一处缓冲区溢出漏洞,该漏洞可能被远程未授权攻...

04月07日26 views评论

阅读全文

安全文章

利用CSP防御存储型XSS

背景：前段时间在公司前端安全培训时，了解了一下CSP协议，当时在网上找了很多国内文章都只是介绍如何去用官方文档的配置，没有解释或者场景告诉大家如何使用，非常抽象。刚好最近在做内部安全平台的前后端开发，...

03月26日15 views评论

阅读全文

Java 安全 | SecurityManager

SRC挖掘之302跳转登录劫持

D^3CTF 2025 Writeup by Nepnep

AWS云渗透入门到精通：系统化学习框架

CVE-2025-5277：AWS MCP 服务器中的命令注入漏洞

AI 赋能漏洞变种分析：从已知到未知，Hacktron 发现 Ivanti EPMM 新攻击向量的启示

OSS 签名绕过上传任意文件到别人的网站

基于K8s日志审计实现攻击行为检测

H3C多系列路由器存在任意用户登录漏洞 POC

【在野利用】Ivanti 多款产品堆缓冲区溢出漏洞(CVE-2025-22457)

Ivanti Ivanti Connect Secure 缓冲区溢出可导致远程代码执行CVE-2025-22457

利用CSP防御存储型XSS

在线咨询

微信