sage - 第 9 | CN-SEC 中文网

代码审计

Java安全-深入BeanValidation的RCE漏洞

前面在学习Java的表达式的时候，学习了Thymeleaf造成的模板注入漏洞，后续又看到了相似的注入问题，在参数验证的错误消息中。漏洞简单描述就是，用户控制器的Java Bean 的属性（来自于HTT...

04月24日35 views评论

阅读全文

安全新闻

EDR的梦魇：Storm-0978使用新型内核注入技术Step Bear

概述2023年十月，奇安信威胁情报中心发布了《Operation HideBear：俄语威胁者将目标瞄准东亚和北美》[1]一文，我们在文中提到攻击者的目标有着经济和技术的双重目的，经济上瞄准投资机构和...

04月24日18 views评论

阅读全文

安全文章

【渗透测试】HackTheBox靶场之Usage

点击蓝字关注我们微信搜一搜暗魂攻防实验室0x01 信息收集目标IP为10.10.11.18，首先进行端口扫描，做靶场当然最好是扫描一下全端口nmap -sS -T4 -A -p- 10.10.11.1...

04月22日277 views评论

阅读全文

人工智能安全

【大模型入门4】通过spring AI实现java调用本地大模型

在国内大家对数据隐私看的很重，这点从私有云和混合云占据半壁江山就能看得出来了，想要大模型应用场景落地是离不开本地部署大模型的。这篇文章简单介绍下怎么用java调用本地大模型。01—前置知识在前面的文章...

04月19日147 views评论

阅读全文

人工智能安全

【大模型入门3】通过spring AI实现java调用openai chatGPT(附api-key)

这是一篇大模型的小白入门文章。本章主要介绍如何使用spring AI在java项目中调用openAI chatGPT的接口。其实人工智能的研发是以python为主的，包括机器学习、深度学习和大模型。但...

04月19日71 views评论

阅读全文

安全漏洞

Weblogic RCE(CVE-2024-21006)

漏洞复现漏洞原理经典JDNI，没啥好分析的。exec:443, Runtime (java.lang)exec:347, Runtime (java.lang)<clinit>:-1, P...

04月19日222 views评论

阅读全文

企业安全

将中小企业置于危险境地的六个不良网络安全习惯

点击上方“蓝色字体”，选择 “设为星标”关键讯息，D1时间送达！较小的企业常常是网络犯罪分子的靶子，随着攻击的增加，现在不是错误地相信你的防御的时候，专家告诉记者，一些坏习惯让中小企业很容易成为攻击目...

04月18日16 views评论

阅读全文

DBC文本文件解析

一般DBC文件中包含了如下的8种信息：1、版本与新符号用VERSION 表示版本用NS_ 表示新符号2、波特率定义用BS_ 表示3、网络节点的定义用BU_ 表示4、报文帧的定义用BO_ 表示...

04月09日安全闲碎54 views评论

阅读全文

使用修饰符来简化代码

常见的使用修饰符的场景是每个函数都有一段相同的逻辑，提取出来作为修饰符，那个比较常见，下面的例子是另外一个比较常见的使用修饰符的场景，可以提高代码可维护性。有多种消息类型，每个类型对应一个消息类，新...

04月04日安全开发11 views评论

阅读全文

安全文章

反编译jar-jjs提权：WarZone1靶机

总结：这个靶机的有个知识点很不错，在对jar文件反编译后，重新改写了java源码，得到密码字典，ssh爆破后登录进入第一个用户commando；欲获取第二个用户captain的密码时，通过histor...

03月25日22 views评论

阅读全文

安全新闻

美国司法部正式对苹果提起反垄断诉讼

The U.S. Department of Justice (DoJ), along with 16 other state and district attorneys general, on T...

03月23日7 views评论

阅读全文

安全文章

CVE-2015-5254利用与分析

点击上方蓝字关注我引言Java 消息服务（Java Message Service，JMS）应用程序接口是一个Java 平台中关于面向消息中间件（MOM）的API，用于在两个应用程序之间，或分布...

03月09日23 views评论

阅读全文

在线咨询

微信