暂无介绍
Apache Jackrabbit 反序列化漏洞分析(CVE-2023-37895)
Apache ActiveMQ jolokia 远程代码执行漏洞利用与分析(CVE-2022-41678)
Apache OFBiz groovy 远程代码执行漏洞分析(CVE-2023-51467)
Unserialize函数的使用很少见,而Session反序列化可控条件又比较苛刻。这次就和大家分享最后一种Phar伪协议反序列化漏洞案例作为学习,祝师傅们以后审计时多多出洞。
ASP.NET审计入门学习
模板渲染是网站开发中常用的技术,可以实现动态生成页面内容。然而,如果模板渲染过程中存在安全漏洞,则可能会导致远程代码执行(RCE)等严重后果。
某Clound系统公开并修复了很多反序列化漏洞,大多反序列点是直接对用户输入的序列化数据执行反序列化操作,并结合系统中存在的反序列利用链,攻击者可以进行命令执行。 本次的起因是通过公开的漏洞路径复现时,发现无法直接使用ysoserial工具生成的payload进行利用。与之前的反序列化漏洞情况不同,需要找找原因。如有疏漏,欢迎大佬指正包涵。
最近看有公众号公布了某凌OA的0day,本着学习的心态看看是怎么个事
最近看到Kingdee星空反序列化漏洞各种各样的接口,本文将分析其漏洞原理及绕过思路,入门学习.NET程序的调试过程。
最近,微软更新了一批安全补丁。其中CVE-2023-36563(Microsoft WordPad Information Disclosure Vulnerability)和CVE-2023-24955(Microsoft SharePoint Server Remote Code Execution Vulner...
Struts2 官方披露 CVE-2023-50164 Apache Struts 文件上传漏洞,攻击者可利用该漏洞污染相关上传参数导致目录遍历,在具体代码环境中可能导致上传 Webshell,执行任意代码。
某次项目中朋友拿到了一份web的源码让帮忙看下,通过审计发现多处注入,挑选一处记录一下
本文会先从正常登录逻辑分析,从而找到该系统认证的过程和方式,进而搜索相关接口找到其他登录接口,进而利用漏洞绕过登录
在复现某cms漏洞时,尝试审计一下该cms,没想到反转再反转,记录审计一下过程
对某开源OA参数过滤情况下的审计过程记录
3 回答,0赞同
0 回答,0赞同