本次分享视频讲解链接:https://www.bilibili.com/video/BV1C84y1u7Tz/?spm_id_from=333.999.0.0&vd_source=16d23b...
原创 | Spring Cloud GateWay CVE-2022-22947 SPEL RCE
点击蓝字关注我们漏洞简介Spring Cloud Gateway是Spring Cloud官方推出的第二代网关框架,取代Zuul网关。网关作为流量的,在微服务系统中有着非常作用,网关常见的功能有路由转...
Thymeleaf模板注入详细分析
Thymeleaf的SSTI介绍Thymeleaf 是一个流行的 Java Web 视图模板引擎,可以方便地将数据和 HTML 模板结合起来生成网页。但是在使用 Thymeleaf 的过程中,如果没有...
如何获取Spring env中带*的密码-项目小记
1、概述Spring是啥就不再介绍了之前文章也写过,在很多时候做项目都能够遇到,就在前两天还碰到了,感觉遇见的概率还挺大的,今天就如标题,简单说一下。2、内容对于env是可以获取系统全部环境属性的,访...
SpringBoot框架文件上传的Trick
SpringBoot框架文件上传的Trick前言Spring Boot 是一款基于 Spring 框架的快速开发 Web 应用的工具。它提供了很多功能强大的框架和引擎,如 Thymeleaf、Free...
低版本SpringBoot-SpEL表达式注入漏洞复现分析
低版本SpringBoot-SpEL表达式注入漏洞复现分析影响版本SpringBoot 1.1.0-1.1.12SpringBoot 1.2.0-1.2.7SpringBoot 1.3.0利用条件是使...
Java安全-深度剖析内存马&上篇
🌟 ❤️作者:yueji0j1anke首发于公号:剑客古月的安全屋字数:5721阅读时间: 15min声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或...
Spring Security漏洞
Spring Security 路径匹配漏洞漏洞描述:Spring Security 是一套为基于 Spring 的应用程序提供说明性安全保护的安全框架。Spring WebFlux 是一种响应式编程...
SpringBootAdmin-thymeleaf-SSTI 可能导致 RCE【分析】
CVE-2023-38286https://nvd.nist.gov/vuln/detail/CVE-2023-38286附加漏洞描述这里提到的沙箱绕过是指绕过Thymeleaf的某些黑名单,而不是利...
CVE-2024-36401 JDK 11-22 通杀内存马
前言 在看到 yzddMr6 师傅的 《GeoServer property RCE注入内存马》之后的第一反应是,在 JDK 15 之后不再默认包含 JS 引擎的解析包了,这也就意味着 JDK 15 ...
干货 | JAVA内存马研究0到1(3万字总结,建议收藏)开放文库更新!
知识文库同步更新本篇文章内容已同步至CKCsec安全研究院知识文库文库地址:https://wiki.ckcsec.cnGithub:https://github.com/ckcsec/wiki-vi...
Spring Boot whitelabel error page远程命令执行漏洞 POC
点击上方「蓝字」,关注我们因为公众号现在只对常读和星标的公众号才能展示大图推送,建议大家进行星标。操作方法:点击右上角的【...】,然后点击【设为星标】即可。01免责声明免责声明:该公众号分享的安全工...