前面在学习Java的表达式的时候,学习了Thymeleaf造成的模板注入漏洞,后续又看到了相似的注入问题,在参数验证的错误消息中。漏洞简单描述就是,用户控制器的Java Bean 的属性(来自于HTT...
04月24日13 views评论rce
sage
Java安全-深入BeanValidation的RCE漏洞
04月24日13 views评论rce
sage
04月24日13 views评论rce
sage
CVE-2022-22947-spring-gateway RCE
这篇文章主要是参考id为zpchcbd 这个大佬的博客。以及其他大佬,详情见文末参考文章。然后结合我个人的缺失技能树的整理。主要是为了我自己学习。审计部分不多。后面大部分都是关于漏洞利用,因为我觉得别...
04月24日24 views评论gateway
rce
深入浅出解析Jackson反序列化
Jackson介绍Jackson是一个流行的Java库,用于处理JSON格式的数据。它提供了一组功能强大的工具,可以方便地在Java对象和JSON之间进行转换。以下是关于Jackson库的介绍:Jac...
04月22日7 views评论反序列化
序列化
【大模型入门4】通过spring AI实现java调用本地大模型
在国内大家对数据隐私看的很重,这点从私有云和混合云占据半壁江山就能看得出来了,想要大模型应用场景落地是离不开本地部署大模型的。这篇文章简单介绍下怎么用java调用本地大模型。01—前置知识在前面的文章...
04月19日7 views评论prompt
sage
【大模型入门3】通过spring AI实现java调用openai chatGPT(附api-key)
这是一篇大模型的小白入门文章。本章主要介绍如何使用spring AI在java项目中调用openAI chatGPT的接口。其实人工智能的研发是以python为主的,包括机器学习、深度学习和大模型。但...
04月19日6 views评论chatgpt
sage
Java-removeSemicolonContentInternal分析
0x00 前言 本篇文章是为了给下一篇代审做基础,这里讲述这个方法的作用,如何创建和如何调试。本人能力有限有不足之处,请见谅0x01 创建创建一个maven,这里的jdk版本应设置1.8设置pom...
02月21日12 views评论artifactid
dependency
SpringBoot 玩一玩代码混淆,防止反编译代码泄露
编译简单就是把代码跑一哈,然后我们的代码 .java文件 就被编译成了 .class 文件反编译就是针对编译生成的 jar/war 包 里面的 .class 文件 逆向还原回来,可以看到你的代码写的啥...
02月16日16 views评论springboot
反编译
CVE-2023-34040 Kafka 反序列化RCE
漏洞描述Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录 (record) 指 K...
02月15日22 views评论rce
反序列化
springboot 拒绝服务分析复现 CVE-2023-20883
漏洞复现CVE-2023-20883我们在static目录下创建一个index.html直接访问可以访问添加畸形的accept头原理分析Springboot的路由模式中,会先利用DispatcherS...
02月10日106 views评论servlet
拒绝服务
SQL注入原理
解决跨域问题的8种方法,含网关、Nginx和SpringBoot~
跨域问题是浏览器为了保护用户的信息安全,实施了同源策略(Same-Origin Policy),即只允许页面请求同源(相同协议、域名和端口)的资源,当 JavaScript 发起的请求跨越了同源策略...
01月31日5 views评论origin
springboot
【漏洞通告】Spring Framework拒绝服务漏洞安全风险通告
漏洞背景近日,嘉诚安全监测到Spring Framework中修复了一个拒绝服务漏洞,漏洞编号为:CVE-2024-22233。Spring Framework是一个功能强大的Java应用程序框架,旨...
01月24日21 views评论嘉诚安全
拒绝服务漏洞