Spring WebFlux参数处理过程与Content-type绕过浅析

Spring WebFlux是Spring Framework提供的用于构建响应式Web应用的模块,基于Reactive编程模型实现。它使用了Reactive Streams规范,并提供了一套响应式的Web编程模型,以便于处理高并发、高吞吐量的Web请求。本文主要分析Spring WebFlux在参数处理过程中是如何对Content-type进行处理的,以及跟Spring MVC的区别。

  • 0
  • 0
  • tkswifty
  • 发布于 2024-04-08 09:42:02
  • 阅读 ( 1591 )

NoSQL 从0到1(MongoDB and InfluxDB)

NoSQL 数据库以传统 SQL 关系表以外的格式存储和检索数据。它们旨在处理大量非结构化或半结构化数据。因此,它们通常比 SQL 具有更少的关系约束和一致性检查,并且在可扩展性、灵活性和性能方面具有显着的优势。但是本次不仅针对了mangodb的Nosql注入做了分析和靶场演示,并且加入了一个不常见的数据库influxfDb的注入方式,可在CTF中出类似的题目。总的来说,nosql注入是较为灵活的。

  • 0
  • 1
  • 梦洛
  • 发布于 2024-04-07 10:03:39
  • 阅读 ( 2582 )

一次有趣的锐捷前台无条件RCE漏洞分析

本篇文章对锐捷前台无条件RCE漏洞进行细致分析和代码审计,带你一步步进入最高权限的天堂,感受CNVD满分漏洞的无穷魅力

Neshta样本分析

前段时间群里一位师傅开远程桌面暴露3389端口时被人打了,然后上传了一个勒索程序,并触发了,在该师傅一番抢救后留下了一个样本,丢到微步上看了看之前好像还没人提交,猜测应该是某种方式内...

  • 1
  • 2
  • 秋分
  • 发布于 2024-04-07 09:50:25
  • 阅读 ( 3233 )

某oa代码审计

某oa代码审计

  • 1
  • 2
  • Whoisa
  • 发布于 2024-04-03 10:00:00
  • 阅读 ( 4065 )

Cacti SQL注入漏洞分析(CVE-2023-51448)

一次php环境下SQL注入漏洞分析

  • 0
  • 0
  • Yu9
  • 发布于 2024-04-03 09:00:01
  • 阅读 ( 12504 )

CVE-2024-23328 DataEase jdbc反序列化漏洞分析

DataEase是一款开源的数据可视化分析工具。DataEase数据源中存在一个反序列化漏洞,可以被利用来执行任意代码。漏洞代码位于`core/core-backend/src/main/java/io/dataease/datasource/type/Mysql.java`文件中。可以绕过mysql jdbc攻击的黑名单,攻击者可以进一步利用该漏洞进行反序列化执行或读取任意文件。该漏洞已在1.18.15和2.3.0版本中修复。

  • 1
  • 0
  • Stree
  • 发布于 2024-04-02 10:00:00
  • 阅读 ( 12004 )

Jeecg-commonController文件上传漏洞分析

朋友整了一个漏洞情报的钉钉机器人,这几天看到了一个最新推送的漏洞Jeecg commonController 文件上传漏洞。说是EXP已公开、但是网上找了一圈没找到,那就自己分析一下吧!

  • 0
  • 4
  • Yu9
  • 发布于 2024-04-01 10:00:02
  • 阅读 ( 13703 )

域渗透之Kerberos FAST突破

域渗透之Kerberos FAST绕过

  • 0
  • 0
  • test123213
  • 发布于 2024-04-01 09:00:01
  • 阅读 ( 3945 )

深入浅出-Hash长度拓展攻击

hash加密是市面上流行的加密方法,那么此次就来分析下其中出现的安全漏洞吧!

  • 3
  • 1
  • 梦洛
  • 发布于 2024-03-29 10:00:00
  • 阅读 ( 3877 )

某知名大型系统代码审计

大型Yii框架审计

  • 0
  • 2
  • 花北城
  • 发布于 2024-03-29 09:00:01
  • 阅读 ( 4282 )

对AWD流行开源WAF(1) -- Watchbird的白盒审计

白盒审计Watchbird--一款awd中的waf和流量检测设备 Watchbird项目地址:https://github.com/leohearts/awd-watchbird

粉碎状态机:Web条件竞争的真正潜力

blackhat 2023中有一篇议题《Smashing the state machine: The true potential of web race conditions》中介绍了利用单数据包进行条件竞争这么一个新技术,并且提供了很多的Lab来练习。本文记录的是我阅读议题的paper进行学习和做Lab的过程,部分段落翻译自议题的paper。

  • 1
  • 2
  • fengsec
  • 发布于 2024-03-28 09:00:02
  • 阅读 ( 3965 )

Open_basedir绕过学习

introduction Open_basedir是PHP设置中为了防御PHP跨目录进行文件(目录)读写的方法,所有PHP中有关文件读、写的函数都会经过open_basedir的检查。Open_basedir实际上是一些目录的集合,在定义...

  • 0
  • 0
  • 梦洛
  • 发布于 2024-03-27 10:00:02
  • 阅读 ( 3932 )

AI安全:生成式AI原理与应用分析

ai本质仍然被看作是一种“幻觉智能,而人应该更像人 而非像马哲里面的 被物化和异化的概念,人应该更像人 才不会被机器所淘汰

  • 1
  • 1
  • 洺熙
  • 发布于 2024-03-27 09:33:23
  • 阅读 ( 3913 )

CVE-2024-22259(CVE-2024-22243绕过)浅析

Spring官方近期披露了CVE-2024-22259,对CVE-2024-22243的修复不充分进行了补充,在受影响版本中,UriComponentsBuilder是Spring Web中用于构建和操作URI的工具类。由于对CVE-2024-22243的修复不充分,攻击者可构造一下两类 url 绕过主机名验证,导致开放重定向或SSRF漏洞。

  • 0
  • 0
  • tkswifty
  • 发布于 2024-03-26 10:00:01
  • 阅读 ( 14827 )

帆软channel接口反序列化漏洞分析

通过帆软channel反序列化历史漏洞,学习二次反序列化绕过黑名单限制进行利用

  • 1
  • 1
  • fany
  • 发布于 2024-03-26 09:00:01
  • 阅读 ( 14735 )

一文搭建复现并分析CVE-2024-25600 WordPress Bricks Builder RCE最新漏洞

一文搭建复现并分析CVE-2024-25600 WordPress Bricks Builder RCE最新漏洞

  • 10
  • 11
  • xhys
  • 发布于 2024-03-25 10:00:00
  • 阅读 ( 14028 )

网络空间指纹:新型网络犯罪研判的关键路径

网络空间指纹是对涉案网络资产所表现的数字痕迹和服务特征的收集和分析,类似于传统刑事科学的指纹概念,每个网络犯罪活动站点都会在网络空间留下独特的特征。本文将重点介绍网络空间指纹的形成和采集方法,以及其在网络犯罪研判中的应用实践。同时,我们将通过实际案例分析,验证网络空间指纹在研判网络犯罪行为中的可行性和有效性。

  • 1
  • 3
  • 风起
  • 发布于 2024-03-22 09:33:40
  • 阅读 ( 4168 )

支付类漏洞挖掘技巧总结

支付类逻辑漏洞在漏洞挖掘中是常常出现的问题之一。此类漏洞挖掘思路多,奖励高,是炙手可热的漏洞。此篇文章主要围绕挖掘支付逻辑漏洞时的一些思路分享。