浅谈SpringMVC自定义参数解析器与常见风险

在 Spring MVC 的控制器(Controller)中,方法参数通常由 Spring 容器自动解析。然而,在某些情况下,开发者可能需要自定义解析逻辑,以满足特定的需求。在日常代码审计可以额外关注对应的自定义参数解析器,可能会有意想不到的收获。

  • 1
  • 2
  • tkswifty
  • 发布于 2024-07-18 10:00:01
  • 阅读 ( 3806 )

硬件断点实现的HOOK与UNHOOK技术

介绍硬件断点patch实例和一种通过硬件断点实现的冷门的unhook手法

  • 2
  • 1
  • 起舞
  • 发布于 2024-06-25 10:19:37
  • 阅读 ( 3789 )

初探UE4引擎逆向

前言:在现代游戏开发中,尤其是在像虚幻引擎(Unreal Engine)这样复杂而强大的引擎中,名称管理是一个至关重要的部分。名称不仅用于标识游戏中的各种对象,还用于调试、日志记录和资源管理等多个方面。虚幻引擎中的FName系统是一种高效的名称管理机制,能够快速查找和处理名称字符串。

  • 0
  • 1
  • Azd
  • 发布于 2024-08-28 09:00:00
  • 阅读 ( 3773 )

AI风控之生成图像鉴伪实战

本文将会分享如何对AI生成的图像进行有效的方法。这种场景在宏大的场合,也被称之为AI鉴伪,即判断多媒体内容如何是否是由AI生成的虚假图像。

  • 1
  • 0
  • elwood1916
  • 发布于 2024-07-08 09:48:33
  • 阅读 ( 3769 )

新的 Diamorphine rootkit 变体在野外被发现

恶意软件中的代码重用现象非常普遍,尤其是对于那些开发难度大或难以用完全不同的代码实现的恶意软件组件。通过监控源代码和编译后的代码,我们能够有效地发现新型恶意软件并追踪野外环境中现存恶意软件的演变情况。

  • 1
  • 0
  • csallin
  • 发布于 2024-07-05 09:00:02
  • 阅读 ( 3674 )

记一次基于Union的sqlmap自定义payload

hw期间某晚上10点,某知名小朋友审计了一套bc源码,有sql注入,注入的位置比较刁钻,sqlmap无法识别,不能取证 (公众号转发务必说明来源,标注作者!)

  • 4
  • 3
  • echoa
  • 发布于 2024-09-09 10:00:01
  • 阅读 ( 3644 )

巧用Chrome-CDP远程调用Debug突破JS逆向

CDP远程调用非常方便,他允许我们直接可以通过代码来操作浏览器完成一系列行为,希望通过我的这篇文章让师傅们对其有一定了解,学习并赋能与我们的渗透测试与安全研究工作之中,提升效率!

xctf final 2024 httpd2 writeup

之前给xctf final出了一题pwn,这里分享一下解题思路。

  • 1
  • 1
  • noir
  • 发布于 2024-07-16 09:00:00
  • 阅读 ( 3608 )

你存在,在我们的攻击画像里

我们的心愿,就是把顺丰使用威胁情报的经验掰开了、揉碎了、明明白白写出来,希望对屏幕前每一个你都能有所帮助,哪怕只有一点点。

浅谈常见edu漏洞,逻辑漏洞➡越权➡接管➡getshell,小白如何快速找准漏洞

之前闲来无事承接了一个高校的渗透测试,测试过程中没有什么复杂的漏洞,是一些基础的edu常见漏洞,适合基础学习,于是整理一下和师傅们分享。

JDK高版本下的JNDI利用以及一些补充

某次行动的时候遇到了jolokia的JNDI注入利用,由于诸多原因需要更稳定的shell,所以考虑JNDI打入内存马,但是遇到了瓶颈。现在准备进一步学习,争取能够实现这个通过JNDI打入内存马的功能。

  • 3
  • 1
  • stoocea
  • 发布于 2024-09-30 09:00:02
  • 阅读 ( 3497 )

SCRIPTBLOCK Smuggling:伪装 PowerShell 安全日志并绕过 AMSI 防护,无需使用REFLECTION和PATCHING

近年来,PowerShell在安全渗透测试者、攻击模拟团队以及一定程度的网络高级持续性威胁行为者中的使用率有所下降。这背后有多种原因,但主要是由于PowerShell v5版本和AMSI(反恶意软件扫描接口)引入了PowerShell的安全日志功能。

  • 0
  • 0
  • csallin
  • 发布于 2024-07-04 09:37:28
  • 阅读 ( 3484 )

一种颠覆防守方防守规则的流量隐藏方法

那么,在内网中能不能设计出一套方法,让两台主机之间没有连接,还可以交换数据,达到命令控制的目的?还真想出来了一个这样的框架。

  • 0
  • 0
  • la0gke
  • 发布于 2024-09-19 10:11:35
  • 阅读 ( 3476 )

记一次hvv中供应链拿靶标的代码审计过程

某地市级hvv,某下级单位研究院官网使用了这套cms,通过供应链拿到源码,并开始了thinkphp3.2.3审计过程。

  • 2
  • 6
  • 律师
  • 发布于 2024-11-15 09:00:02
  • 阅读 ( 3465 )

拆解大模型“越狱”攻击:对抗样本如何撕开AI安全护栏?

本文系统拆解大模型面临的越狱攻击技术,揭示攻击者如何通过巧妙设计突破AI安全限制

  • 5
  • 5
  • Werqy3
  • 发布于 2025-04-14 10:08:47
  • 阅读 ( 3459 )

掌握Django隐秘漏洞:构建内存马,实现命令执行

内存马作为一种常见的攻击与权限维持手段,往往多见于Java Web应用中,Django在日常开发中使用频率较高的框架,今天来探寻在Python Web场景下的内存马

  • 0
  • 0
  • Werqy3
  • 发布于 2025-03-10 17:38:25
  • 阅读 ( 3422 )

威胁行为者利用GeoServer漏洞CVE-2024-36401

GeoServer是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据。它是开放地理空间联盟(OGC)Web Feature Service(WFS)和Web Coverage Service(WCS)标准的参考实现。

  • 0
  • 0
  • csallin
  • 发布于 2024-09-27 10:00:00
  • 阅读 ( 3409 )

【2024补天白帽黑客大会】主动防护视角下的API安全实践

演讲议题:主动防护视角下的API安全实践

AI风控之伪造文本检测

AIGC技术可能导致大量低质量、重复性和垃圾内容的产生,这些内容可能会淹没真正有价值的信息,影响用户的体验,并可能导致互联网整体的信任度下降。例如,一些AIGC平台可以根据用户输入的关键词或简介,自动生成小说、诗歌、歌词等文学作品,而这些作品很可能是对已有作品的抄袭或改编。 为此,在风控场景下也很多必要检测AI伪造文本。在本文中将分享一种有效的技术,用魔法打败魔法,我们用AI来检测AI。

  • 0
  • 0
  • elwood1916
  • 发布于 2024-08-05 09:35:06
  • 阅读 ( 3344 )

挖矿病毒处置总结

处理过的挖矿病毒隐藏自身的方式总结及处置方法总结

  • 6
  • 1
  • hupo_zhu
  • 发布于 2024-12-31 09:00:00
  • 阅读 ( 3269 )