Yu9
bGl1
JNDI高版本JDK绕过--C3P0/HikariCP
JDNI注入漏洞已经很是众所周知了,针对高版本JDK的绕过方式主要是基于javax.naming.spi.ObjectFactory实现类的利用或者是通过反序列化进行绕过,本文主要讲述两个基于javax.naming.spi.ObjectFactory实现类来进行绕过高版本JDK点。
- 0
- 0
- mechoy
- 发布于 2024-05-13 09:00:02
- 阅读 ( 3557 )
【漏洞挖掘】记一次985证书站Oracle注入绕WAF
本文记录了我第一次Oracle注入并绕过WAF的经历,希望大家多多支持。
- 5
- 3
- 越南王子
- 发布于 2024-05-21 09:00:00
- 阅读 ( 3527 )
越南王子
n3ewlit
针对多模态大模型的投毒攻击
多模态大模型,比如像 GPT-4v、Gemini以及一些开源的版本,例如 LLaVA、MiniGPT-4和 InstructBLIP等,它们将视觉能力集成到大型语言模型(LLMs)中。本文会分析针对此类模型的投毒攻击
- 0
- 0
- elwood1916
- 发布于 2024-05-16 10:44:16
- 阅读 ( 3354 )
怒绕三个WAF注入的小故事
天呢,不知道的以为我在注CIA。 发现漏洞 经典的字符串型盲注,无报错回显。注入单引号*1返回404或500(交替出现,无规律),注入单引号*2正常显示: 由于可能存在混淆情况(前几天就遇到一...
- 7
- 7
- 阿斯特
- 发布于 2024-06-13 09:00:02
- 阅读 ( 3321 )
阿斯特
完全零基础入门Fastjson系列漏洞(基础篇)
本文作为Java安全亲妈级零基础教程的第一篇Fastjson漏洞的基础篇,从前置知识开始讲起,然后过渡到漏洞的复现和代码的分析,本文除去代码一共近18000字,配图108张,配图足够详细清楚,跟着复现分析基本可以搞明白这些漏洞是怎么一回事。
- 11
- 7
- W01fh4cker
- 发布于 2024-06-21 09:44:37
- 阅读 ( 3220 )
W01fh4cker
三种针对JSON Web Tokens的新攻击方式
本文是笔者阅读BLACK HAT-2023中《Three New Attacks Against JSON Web Tokens》这篇paper学习后所写的笔记,涉及到相关的原理知识、3种新的JWT攻击姿势和复现过程。
- 3
- 2
- fengsec
- 发布于 2024-04-11 09:37:29
- 阅读 ( 3190 )
怜芩
红猪
【两万字原创长文】零基础入门Fastjson系列漏洞(提高篇1)
现在距离这篇文章的写作时间已经过去整整半年,该写写他的提高篇了。基础篇发布后,很多师傅在朋友圈发表了留言,有不少师傅提出了宝贵而真挚的建议,也有师傅(@Y1ngSec、@lenihaoa)指出我文章的不足,我在此再次表示诚挚的感谢。
- 4
- 3
- W01fh4cker
- 发布于 2024-06-26 09:00:01
- 阅读 ( 3119 )
记一次执行顺序问题导致的SQL注入绕过
拦截器(Interceptor)和过滤器(Filter)在Java Web应用程序中都是用于处理HTTP请求和响应的组件,但它们属于不同的层次,并且具有不同的执行顺序和作用域。正确理解它们之间的区别和执行顺序对于确保应用程序的安全性至关重要。
- 2
- 2
- tkswifty
- 发布于 2024-06-03 10:00:00
- 阅读 ( 3022 )
tkswifty