springframework - 第 3 | CN-SEC 中文网

安全文章

SpringBootAdmin-thymeleaf-SSTI 可能导致 RCE【分析】

CVE-2023-38286https://nvd.nist.gov/vuln/detail/CVE-2023-38286附加漏洞描述这里提到的沙箱绕过是指绕过Thymeleaf的某些黑名单，而不是利...

10月13日56 views评论

阅读全文

安全文章

CVE-2024-36401 JDK 11-22 通杀内存马

前言在看到 yzddMr6 师傅的《GeoServer property RCE注入内存马》之后的第一反应是，在 JDK 15 之后不再默认包含 JS 引擎的解析包了，这也就意味着 JDK 15 ...

07月25日178 views评论

阅读全文

代码审计

干货 | JAVA内存马研究0到1（3万字总结，建议收藏）开放文库更新！

知识文库同步更新本篇文章内容已同步至CKCsec安全研究院知识文库文库地址：https://wiki.ckcsec.cnGithub：https://github.com/ckcsec/wiki-vi...

06月30日109 views评论

阅读全文

安全漏洞

Spring Boot whitelabel error page远程命令执行漏洞 POC

点击上方「蓝字」，关注我们因为公众号现在只对常读和星标的公众号才能展示大图推送，建议大家进行星标。操作方法：点击右上角的【...】，然后点击【设为星标】即可。01免责声明免责声明：该公众号分享的安全工...

05月29日80 views评论

阅读全文

代码审计

Java安全之Spring Security

为了整个思路更加清晰，我要需要提前了解的写在前面。后续的调试环境不至于思路飞来打去FirewalledRequestHttpFirewall是Spring Security提供的Http防火墙，它可以...

05月19日27 views评论

阅读全文

安全文章

Tmall 靶场记录

一、SQL注入漏洞首页搜索框添存在SQL注入漏洞orderBy参数发现此参数存在SQL注入漏洞SQLMap发现存在SQL注入漏洞查库：tmalldemodb查表查用户获取用户admin/rkmslm...

05月19日32 views评论

阅读全文

安全文章

CVE-2023-34040 Spring Kafka反序列漏洞分析

根据安全公告中的描述，我们可以简单地获得导致漏洞的一些关键点。在配置中将作为 ErrorHandlingDeserializer Kafka 记录中的键和/或值。将布尔类型属性 checkDeser...

05月18日10 views评论

阅读全文

安全文章

浅析Spring类内存马

Controller内存马环境搭建依赖<dependency> <groupId>org.springframework</groupId> <artifac...

05月14日8 views评论

阅读全文

安全文章

九维团队-绿队（改进）| Java Spring编码安全系列之不恰当的身份验证

·前言·Java Spring是目前企业开发中使用较多的一种java开发框架，因此，基于该框架的安全内容尤为重要。Secure Code Warrior编码实验室的Java Spring涉及到的安全问...

05月14日10 views评论

阅读全文

代码审计

Java安全-深入BeanValidation的RCE漏洞

前面在学习Java的表达式的时候，学习了Thymeleaf造成的模板注入漏洞，后续又看到了相似的注入问题，在参数验证的错误消息中。漏洞简单描述就是，用户控制器的Java Bean 的属性（来自于HTT...

04月24日35 views评论

阅读全文

安全漏洞

CVE-2022-22947-spring-gateway RCE

这篇文章主要是参考id为zpchcbd 这个大佬的博客。以及其他大佬，详情见文末参考文章。然后结合我个人的缺失技能树的整理。主要是为了我自己学习。审计部分不多。后面大部分都是关于漏洞利用，因为我觉得别...

04月24日43 views评论

阅读全文

代码审计

深入浅出解析Jackson反序列化

Jackson介绍Jackson是一个流行的Java库，用于处理JSON格式的数据。它提供了一组功能强大的工具，可以方便地在Java对象和JSON之间进行转换。以下是关于Jackson库的介绍：Jac...

04月22日36 views评论

阅读全文

SpringBootAdmin-thymeleaf-SSTI 可能导致 RCE【分析】

CVE-2024-36401 JDK 11-22 通杀内存马

干货 | JAVA内存马研究0到1（3万字总结，建议收藏）开放文库更新！

Spring Boot whitelabel error page远程命令执行漏洞 POC

Java安全之Spring Security

Tmall 靶场记录

CVE-2023-34040 Spring Kafka反序列漏洞分析

浅析Spring类内存马

九维团队-绿队（改进）| Java Spring编码安全系列之不恰当的身份验证

Java安全-深入BeanValidation的RCE漏洞

CVE-2022-22947-spring-gateway RCE

深入浅出解析Jackson反序列化

在线咨询

微信