kkFileView任意文件上传

kkFileView任意文件上传

  • 0
  • 1
  • 买橘子
  • 发布于 2024-05-07 09:00:02
  • 阅读 ( 17557 )

用友NC runStateServlet注入漏洞分析

用友NC runStateServlet注入漏洞分析

  • 0
  • 1
  • webqs
  • 发布于 2024-05-06 10:00:00
  • 阅读 ( 14220 )

花指令全面总结

由易到难全面剖析花指令

U8cloud base64 SQL注入漏洞分析

U8cloud base64 SQL注入漏洞分析,真的是file/upload/base64导致的SQL注入吗?

  • 0
  • 1
  • So4ms
  • 发布于 2024-04-10 09:39:54
  • 阅读 ( 12391 )

高JDK的JNDI绕过之复现某比赛0解题

转载

  • 1
  • 1
  • Zacky
  • 发布于 2024-04-18 09:30:01
  • 阅读 ( 15395 )

Java安全 - FastJson系列详解

再学学Fastjson呗

  • 3
  • 1
  • Zacky
  • 发布于 2024-04-08 10:00:01
  • 阅读 ( 13844 )

代码审计入门篇-CVE-2018-14399

小白的代码审计入门!如果有误 望大佬们帮忙指正:D

  • 0
  • 1
  • p1ng
  • 发布于 2024-04-12 10:00:01
  • 阅读 ( 11578 )

帆软channel接口反序列化漏洞分析

通过帆软channel反序列化历史漏洞,学习二次反序列化绕过黑名单限制进行利用

  • 1
  • 1
  • fany
  • 发布于 2024-03-26 09:00:01
  • 阅读 ( 16898 )

CVE-2024-22243与Java中常见获取host的方式

Spring官方近期披露了CVE-2024-22243,在受影响版本中,由于 UriComponentsBuilder 处理URL时未正确处理用户信息中的方括号,攻击者可构造包含方括号的恶意URL绕过主机名验证。如果应用程序依赖UriComponentsBuilder.fromUriString()等方法对URL进行解析和校验,则可能导致验证绕过,出现开放重定向或SSRF漏洞。本质上还是安全检查的工具类与组件库解析host发起请求的解析逻辑导致的绕过问题。

  • 1
  • 1
  • tkswifty
  • 发布于 2024-02-27 10:00:02
  • 阅读 ( 28576 )

从CVE-2023-21839到CVE-2024-20931

某天刷手机看到微信公众号上发布的漏洞通告 "Oracle WebLogic Server JNDI注入漏洞(CVE-2024-20931)" 就联想到了WebLogic之前也存在过的JNDI注入漏洞,分别是CVE-2023-21839 和 CVE-2023-21931 。漏洞通告中说的是CVE-2023-21839的补丁绕过,于是就想看看,学习学习,也回顾一下前面两个漏洞

  • 1
  • 1
  • Stree
  • 发布于 2024-02-29 09:00:00
  • 阅读 ( 22932 )

某.net程序文件写入漏洞分析

前段时间看到公开了一个漏洞payload很奇怪,正好有空就分析了一下,也是第一次接触了.net的代码审计,一通分析下来,发现和审计java和php的思路是一样的...

GitLab任意用户密码重置漏洞代码级分析(CVE-2023-7028)

GitLab任意用户密码重置漏洞代码级分析(CVE-2023-7028)

  • 2
  • 1
  • jweny
  • 发布于 2024-01-19 09:00:00
  • 阅读 ( 34274 )

CVE-2023-31436 Linux 内核数组越界漏洞分析与利用

漏洞分析 在 qfq_change_class 里面如果用户态没有提供 TCA_QFQ_LMAX,就会取网卡的 mtu 作为 lmax 且不做校验,loopback 网卡的 mtu 可以被设置为 2^31-1​ // qfq_change_class() in net/sched...

  • 0
  • 1
  • hac425
  • 发布于 2024-01-24 10:00:00
  • 阅读 ( 34375 )

某国产中间件文件上传漏洞分析

最近有关公众号发布几个国产中间件漏洞预警,本着学习心态对其进行分析研究

Apache ActiveMQ jolokia 远程代码执行漏洞分析(CVE-2022-41678)

Apache ActiveMQ jolokia 远程代码执行漏洞利用与分析(CVE-2022-41678)

  • 3
  • 1
  • jweny
  • 发布于 2024-01-16 10:19:19
  • 阅读 ( 29360 )

【PHP代码审计】站点中的Phar反序列化漏洞

Unserialize函数的使用很少见,而Session反序列化可控条件又比较苛刻。这次就和大家分享最后一种Phar伪协议反序列化漏洞案例作为学习,祝师傅们以后审计时多多出洞。

Euler Finance闪电贷攻击分析复现

Euler Finance闪电贷攻击分析复现

Damn Vulnerable DeFi Challenges

Damn Vulnerable DeFi Challenges | 区块链安全挑战

某OA漏洞复现分析

最近看有公众号公布了某凌OA的0day,本着学习的心态看看是怎么个事

ERC2771 Multicall任意地址欺骗攻击分析

ERC2771 Multicall任意地址欺骗攻击