3推荐

3312浏览

禅道项目管理系统身份认证绕过分析(QVD-2024-15263)

禅道项目管理系统存在身份认证绕过漏洞，远程攻击者利用该漏洞可以绕过身份认证，调用任意API接口并修改管理员用户的密码，并以管理员用户登录该系统，配合其他漏洞进一步利用后，可以实现完全接管服务器

• 0
• kakakakaxi 发布于 2024-05-16 10:44

0推荐

2614浏览

针对多模态大模型的投毒攻击

多模态大模型，比如像 GPT-4v、Gemini以及一些开源的版本，例如 LLaVA、MiniGPT-4和 InstructBLIP等，它们将视觉能力集成到大型语言模型（LLMs）中。本文会分析针对此类模型的投毒攻击

• 0
• elwood1916 发布于 2024-05-16 10:44

1推荐

13495浏览

AJ-Report代码执行漏洞分析

转载个人公众号

• 1
• webqs 发布于 2024-05-15 10:00

0推荐

2257浏览

记一次golang的dsn注入之旅

记一次golang的dsn注入之旅

• 0
• Sakura501 发布于 2024-05-14 10:00

0推荐

3664浏览

Jayway JsonPath JsonSmartJsonProvider模式参数走私浅析

Jayway JsonPath是json-path开源的一个用于读取 Json 文档的 Java DSL。JsonSmartJsonProvider 通常是其默认的 JsonProvider 实现。浅析其中潜在的参数走私场景。

• 0
• tkswifty 发布于 2024-05-11 09:47

3推荐

16211浏览

某积分商城任意金额支付漏洞分析利用及思考

大部分开发人员在开发时都会有一种思维惯性，传参处处有校验==处处都可信，但这个等式并非恒成立

• 5
• K1v1n 发布于 2024-05-10 10:00

1推荐

17126浏览

"凌武杯" D^3CTF 2024 wp

"凌武杯" D^3CTF 2024 wp

• 2
• mof 发布于 2024-05-07 11:18

1推荐

17084浏览

SSRF突破对file协议的限制

一个在java中ssrf绕过的小trick！

• 0
• Yu9 发布于 2024-05-07 10:00

1推荐

13720浏览

用友NC runStateServlet注入漏洞分析

用友NC runStateServlet注入漏洞分析

• 0
• webqs 发布于 2024-05-06 10:00

0推荐

15752浏览

CVE-2024-22262(CVE-2024-22259绕过)浅析

Spring官方近期披露了CVE-2024-22262，在受影响版本中，由于此前CVE-2024-22243、CVE-2024-22259的修复黑名单校验不充分，攻击者可能构造在协议、主机名、用户名、端口部分包含\\的url，使得通过UriComponentsBuilder类解析得到错误的值，绕过业务应用中的主机地址验证。

• 1
• tkswifty 发布于 2024-04-30 10:00

3推荐

5008浏览

记某景的一次代码审计

过滤器查找+漏洞审计+加解密算法破解

• 0
• dddtest 发布于 2024-04-30 09:00

0推荐

15613浏览

花指令全面总结

由易到难全面剖析花指令

• 1
• Slient_rain 发布于 2024-04-29 10:00

1推荐

4408浏览

Ognl小trick

小trick一则

• 1
• SpringKill 发布于 2024-04-29 09:00

2推荐

4315浏览

Java Web常见框架寻找路由技巧

在Java Web代码审计中，寻找和识别路由是很关键的部分。通过注册的路由可以找到当前应用对应的Controller，其作为MVC架构中的一个组件，可以说是每个用户交互的入口点。简单介绍下Java Web中常见框架（Spring Web、Jersey）寻找路由技巧。

• 1
• tkswifty 发布于 2024-04-28 09:00

0推荐

15806浏览

浅析XXE注入导致RCE

简单复现一下XXE注入导致RCE 并分析一下其中逻辑

• 0
• ZAC安全 发布于 2024-04-26 10:03