Restlet 框架内存马分析
Restlet 是一个开源的 Java 框架(https://restlet.talend.com/),专为创建 RESTful Web 服务和应用而设计。它提供了一种简单而灵活的方式来构建基于 REST 的应用程序,适合构建微服务、Web API 和移动后端。简单来说,Restlet就是一个用来搭建API服务的框架
- 2
- 1
- kakakakaxi
- 发布于 2024-09-25 10:00:01
- 阅读 ( 2233 )
kakakakaxi
gson参数走私浅析
Gson 是一个由 Google 开发的 Java 库,用于将 Java 对象序列化为 JSON 格式,以及将 JSON 字符串反序列化为 Java 对象。Gson 以其简单易用和高性能而闻名,它提供了一种非常直观的方式来处理 JSON 数据。浅析其中潜在的参数走私场景。
- 0
- 0
- tkswifty
- 发布于 2024-10-11 09:00:00
- 阅读 ( 2206 )
tkswifty
Jackson中Json隐式数据类型转换与参数走私浅析
在 Java 中处理 JSON 数据时,隐式数据类型转换通常是由 JSON 处理库自动进行的,这些库会根据 JSON 值的格式和上下文来推断并转换数据类型。浅析其中的参数走私案例。
- 0
- 1
- tkswifty
- 发布于 2024-11-01 09:00:01
- 阅读 ( 2029 )
jsp解析过程及其trick点
jsp解析过程 tomcat 解析jsp的过程,主要分为以下几个步骤: 客户端发送请求到服务器 服务器接收到请求,并交给servlet容器处理 servlet容器解析jsp文件,并将其转换为java代码 servlet容器编...
- 3
- 2
- Q16G
- 发布于 2024-12-16 09:00:00
- 阅读 ( 1890 )
Q16G
在 JSP 中优雅的注入 Spring 内存马
JSP 下注入 Spring 内存马 & Spring Hack 无条件的一种方法
- 1
- 0
- Heihu577
- 发布于 2025-01-20 09:00:00
- 阅读 ( 1797 )
Heihu577
nbcio-boot代码审计之JS注入攻守道
一、项目地址 https://gitee.com/nbacheng/nbcio-boot.git 默认账号密码为:admin/123456 二、漏洞简介 该系统存在一个JavaScript表达式注入漏洞,本人此前公开披露过此漏洞,于是该系统进行了...
- 2
- 1
- fibuleX
- 发布于 2025-02-07 10:00:00
- 阅读 ( 1557 )
fibuleX
高版本 jndi 调用 setter 方法拓展攻击面
这篇文章主要说了 JavaBeanObjectFactory 工厂类的 getobjectinstance 方法可以调用一些类的 setter 方法,但是跟踪过程中发现有一些限制,调用 setter 方法的顺序是固定的,不能够设置,因为这个原因导致 JdbcRowSetImpl 利用失败,然后需要我们的类的构造函数为 public,最后成功的是 JtaTransactionConfig,但是因为传入的 ref 属性不是 string,需要使用 BinaryRefAddr
- 1
- 0
- nn0nkeyk1n9
- 发布于 2025-02-17 09:00:01
- 阅读 ( 1376 )
CVE-2024-41009 Linux内核的bpf ringbuf中存在一个缓冲区重叠漏洞分析与利用
Linux内核的bpf ringbuf中存在一个缓冲区重叠漏洞。可以使得第二个分配的内存块与第一个内存块重叠,结果就是BPF程序能够编辑第一个内存块的头部。一旦第一个内存块的头部被修改,bpf_ringbuf_commit()就会引用错误的页面,可能会导致崩溃。
- 0
- 0
- 吃不饱的崽
- 发布于 2025-01-09 09:00:00
- 阅读 ( 1148 )