DSL-JSON 是一个为 JVM(Java 虚拟机)平台设计的高性能 JSON 处理库,支持 Java、Android、Scala 和 Kotlin 语言。它被设计为比任何其他 Java JSON 库都快,与最快的二进制 JVM 编解码器性能相当。浅析其中潜在的参数走私场景。
禅道项目管理系统存在身份认证绕过漏洞,远程攻击者利用该漏洞可以绕过身份认证,调用任意API接口并修改管理员用户的密码,并以管理员用户登录该系统,配合其他漏洞进一步利用后,可以实现完全接管服务器
多模态大模型,比如像 GPT-4v、Gemini以及一些开源的版本,例如 LLaVA、MiniGPT-4和 InstructBLIP等,它们将视觉能力集成到大型语言模型(LLMs)中。本文会分析针对此类模型的投毒攻击
从发现攻击IP到反制拿到system权限,再到分析傀儡机上的扫描工具(有球球号),最后还原攻击路径。主打一个分享思路和技巧。
转载个人公众号
本文章讲解shiro和fastjson漏洞复现合集以及绕waf不出网利用 还带点sql绕安全狗
花了些时间对鸡哥的sharpbeacon的代码进行问题修复和增强,为了让各位师傅少走弯路,将技术细节总结出来形成本文,也欢迎各位师傅留言进行交流学习。
喜欢就好
记一次golang的dsn注入之旅
DASCTF X GFCTF 2024|四月开启第一局的一道一解题目(SuiteCRM)和零解题目(web1234)的详细题解
JDNI注入漏洞已经很是众所周知了,针对高版本JDK的绕过方式主要是基于javax.naming.spi.ObjectFactory实现类的利用或者是通过反序列化进行绕过,本文主要讲述两个基于javax.naming.spi.ObjectFactory实现类来进行绕过高版本JDK点。
第一次打AWD,打得汗流浃背,学习到了很多; 该篇文章是关于长城杯2024半决赛的writeup。
Jayway JsonPath是json-path开源的一个用于读取 Json 文档的 Java DSL。JsonSmartJsonProvider 通常是其默认的 JsonProvider 实现。浅析其中潜在的参数走私场景。
大部分开发人员在开发时都会有一种思维惯性,传参处处有校验==处处都可信,但这个等式并非恒成立
Jayway JsonPath是json-path开源的一个用于读取 Json 文档的 Java DSL。浅谈其中的JSON解析差异导致的权限绕过。
前几天朋友的电脑遇到这样一个问题,他想要运行某个jar文件,不小心点击了右键选项中的“使用notepad打开”,这里的notepad指的是windows11自带文件编辑器,他的jar文件快将近200MB,这导致notepad直接卡死。原本以为关掉后就无事发生了,但事实并非如此,此后他每次打开notepad都会默认去打开那个文件,导致进程崩溃。 他第一时间的想法是删除这个文件,这样即使打开notepad也会因为找不到文件而跳过这个步骤。事实并非如此吗?是否我们可以利用这个特性做一些好玩的事情呢?
假如你在一次攻防演练或者渗透测试中有多个攻击测试目标,一个一个去手动测试是肯定不现实的,可以先借助安全扫描工具去“自动扫描测试目标站点”的薄弱漏洞的位置,为你后续的深入测试提供事半功倍的效果。
死磕某小程序
想到学校的小程序,然后看一看,第一次测小程序,师傅们勿喷
"凌武杯" D^3CTF 2024 wp