sink | CN-SEC 中文网

安全博客

Tabby学习笔记 & Java反序列化gadget分析

Tabby学习笔记，挖掘反序列化gadget的思路和一些链的详细分析及POC 环境搭建Neo4jTabby需要用到Neo4j，项目中有相应的Dockerfile，直接启动，7474为Web端口 123...

02月27日11 views评论

阅读全文

安全博客

用CodeQL分析漏洞_CVE-2022-42889

Apache Commons Text 是专门用来处理文本的一个库，据文档介绍其支持变量插值。在1.5 - 1.9版本默认支持”script”类型的插值，于是可以造成任意代码执行，也就是CVE-202...

02月27日19 views评论

阅读全文

安全博客

GitHub Security Lab CTF: CodeQL and Chill

这是GitHub Security Lab CTF的一道题目，利用CodeQL挖掘Netflix Titus服务端模板注入漏洞。漏洞详情JSR是Java Specification Requests...

02月27日18 views评论

阅读全文

安全闲碎

CodeQL 提升篇

0x00 功能编译闭源项目创建数据库，可以使用该工具：https://github.com/ice-doom/codeql_compile 历史查询在VSCode左侧可以的QUERY HISTO...

02月25日11 views评论

阅读全文

安全文章

原创 Paper | 基于污点分析的 AI 自动化漏洞挖掘尝试

作者：longofo@知道创宇404实验室时间：2025年2月16日本文为知道创宇404实验室内部分享沙龙“404 Open Day”的议题内容，作为目前团队AI安全研究系列的一部分，分享出来与大家一...

02月20日74 views评论

阅读全文

安全文章

codeql在mybatis某漏报场景下的研究学习

“A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践。”...

02月11日16 views评论

阅读全文

安全工具

基于Zjackky/CodeScan的轻量级匹配Sink点并AI审计的代码审计扫描器

0x01 工具介绍该工具基于Zjackky/CodeScan开发，通过对大多数不完整的代码以及依赖快速进行Sink点匹配，并且由AI进行审计精准定位，来帮助红队完成快速代码审计，目前工具支持的语言...

02月10日25 views评论

阅读全文

安全工具

【重磅】开源全平台轻量级AI代码审计工具

前言本软件主要是减轻一些代码审计的工作量，其实以前我看到类似的程序，不过用起来多少都差点意思，主要有三点，一是不开源，使用上难免有些许别扭，反馈作者还需要等有些麻烦。二是效率不高，没有一个...

02月09日68 views评论

阅读全文

安全工具

Java综合漏洞平台

在我们平时的网络安全工作中，经常会面对各种各样的挑战。比如，进行定期的漏洞扫描、代码审计，甚至是参与红蓝对抗演练时，发现漏洞后往往需要及时将其修复。最近，我接触到了一款开源的网络安全工具——JavaS...

01月15日61 views评论

阅读全文

安全工具

CodeScan-代码扫描审计工具

声明所提供的工具资料仅供学习之用。这些资料旨在帮助用户增进知识、提升技能，并促进个人成长与学习。用户在使用这些资料时，应严格遵守相关法律法规，不得将其用于任何非法、欺诈、侵权或其他不当用途。本人和团队...

01月14日19 views评论

阅读全文

安全新闻

新型攻击 CSPT2CSR-利用客户端路径遍历实现 CSRF 攻击

为了提升用户的浏览安全，IETF 提出了名为“Incrementally Better Cookies”（逐步改进的 Cookie）的计划，旨在解决 CSRF 和其他客户端安全问题。随后，Chrome...

01月12日67 views评论

阅读全文

代码审计

利用CodeQL进行源代码安全审计

概述CodeQL 是Github 安全实验室推出的基于语法分析的代码审计工具。CodeQL将语法树抽离出来，提供了使用QL查询代码的方案，增强了基于数据分析的灵活度。官网安装使用安装1. ...

01月10日53 views评论

阅读全文

Tabby学习笔记 & Java反序列化gadget分析

用CodeQL分析漏洞_CVE-2022-42889

GitHub Security Lab CTF: CodeQL and Chill

CodeQL 提升篇

原创 Paper | 基于污点分析的 AI 自动化漏洞挖掘尝试

codeql在mybatis某漏报场景下的研究学习

基于Zjackky/CodeScan的轻量级匹配Sink点并AI审计的代码审计扫描器

【重磅】开源全平台轻量级AI代码审计工具

Java综合漏洞平台

CodeScan-代码扫描审计工具

新型攻击 CSPT2CSR-利用客户端路径遍历实现 CSRF 攻击

利用CodeQL进行源代码安全审计

在线咨询

微信