漏洞分析 - 推荐的文章 - 第5页

MCP 利用手法实战与防护思考

随着大模型智能体的发展，关于大模型工具调用的方式也在进行迭代，今年讨论最多的应该就是MCP了，新的场景就会带来新的安全风险，本文将对MCP安全场景进行探究。

1
3
银空飞羽
发布于 2026-01-15 09:45:13
阅读 ( 27572 )

高版本jdk下的spring通杀链

jsjcw师傅提出的一条链子。只给了一个payload，然后这里来分析一下过程。

2
3
fupanc
发布于 2026-01-30 15:37:14
阅读 ( 39816 )

漏洞挖掘从黑盒到白盒-上篇

本文讲解针对某个网络设备的漏洞挖掘，如何从黑盒测试到权限获取，从哪些角度对二进制文件进行分析获取更大的权限

3
3
vlan911
发布于 2025-09-28 09:00:00
阅读 ( 18281 )

一个flutter框架的App渗透日记

客户安排了一个App的渗透测试，但是App抓不了包，于是展开一顿分析，最终进入内网………….

4
3
nstkm
发布于 2025-06-13 09:00:02
阅读 ( 11170 )

论如何从发现者视角看 apache solr 的 js 代码执行漏洞

平时分析和复现了很多 cve，但是一遇到逻辑稍微复杂的，漏洞通告给的位置不是很详细的，代码 diff 很冗杂的，分析起来就会很困难，然后这时候其实就是需要耐心和思维逻辑了，这次花了接近一周的时间来了解这个漏洞，其实这个漏洞倒是不重要，就是逼着自己去锻炼思维和看官方文档的能力，让自己尽量接近发现者的视角，虽然这个漏洞很老，但是我还是感觉发现它的人真的很厉害，前后的分析过程也是花费了整整一周

3
3
nn0nkeyk1n9
发布于 2025-03-10 10:00:01
阅读 ( 38865 )

结合阿里云通义灵码辅助新手小白快速代码审计的最佳实践

本文介绍了作者在数据安全比赛中遇到的一个开源框架的代码审计过程。作者使用了多种工具，特别是“通义灵码”，帮助发现了多个高危漏洞，包括路径遍历、文件上传、目录删除、SQL注入和XSS漏洞。文章详细描述了如何利用这些工具进行漏洞定位和验证，并分享了使用“通义灵码”的心得和体验。最后，作者总结了AI在代码审计中的优势和不足，并展望了未来的发展方向。

7
3
周周的奇妙编程
发布于 2025-01-06 10:00:00
阅读 ( 32940 )

代码审计 - MCMS v5.4.1 0day挖掘

记一次 MCMS v5.4.1 代码审计，编号为 CVE-2024-42990&CVE-2024-42991。本文由笔者首发于先知社区的技术文章板块：https://xz.aliyun.com/t/16630

3
3
ve1kcon
发布于 2025-01-02 10:00:00
阅读 ( 32105 )

使用自动化工具寻找sql注入漏洞

对某开源cms进行代码审计，发现虽然该cms虽然对参数参数进行了过滤，但是过滤有限，依然可以通过其他方法绕过进行sql注入，本文将将通过正则匹配的方式，并通过自动化查找工具，寻找某cms中存在的sql注入漏洞

2
3
中铁13层打工人
发布于 2024-07-31 09:00:00
阅读 ( 33093 )

某安防管理平台一次远程命令执行漏洞分析

通过某些渠道拿到一些漏洞情报，直接打开idea完整的跟一下给他卷出来，简单的讲述一下整个分析的过程以及漏洞触发的流程

3
3
zhizhuo
发布于 2024-06-20 10:00:00
阅读 ( 44857 )

某积分商城任意金额支付漏洞分析利用及思考

大部分开发人员在开发时都会有一种思维惯性，传参处处有校验==处处都可信，但这个等式并非恒成立

6
3
K1v1n
发布于 2024-05-10 10:00:00
阅读 ( 22203 )

一次有趣的锐捷前台无条件RCE漏洞分析

本篇文章对锐捷前台无条件RCE漏洞进行细致分析和代码审计，带你一步步进入最高权限的天堂，感受CNVD满分漏洞的无穷魅力

3
3
新人小安
发布于 2024-04-07 10:00:01
阅读 ( 18247 )

某oa命令执行漏洞挖掘思路

前段时间看到某系统爆出一个RCE，随后找到了源码对漏洞进行分析，并利用历史漏洞找到了其他突破点，进而找到新的漏洞。

5
3
中铁13层打工人
发布于 2024-01-23 09:00:02
阅读 ( 41191 )

某cms模板渲染导致rce漏洞分析

模板渲染是网站开发中常用的技术，可以实现动态生成页面内容。然而，如果模板渲染过程中存在安全漏洞，则可能会导致远程代码执行（RCE）等严重后果。

1
3
中铁13层打工人
发布于 2024-01-10 09:00:02
阅读 ( 30807 )

某次实战代码审计出sql注入漏洞记录

某次项目中朋友拿到了一份web的源码让帮忙看下，通过审计发现多处注入，挑选一处记录一下

1
3
中铁13层打工人
发布于 2023-12-19 10:08:12
阅读 ( 19994 )

【Web实战】 Atlassian Confluence CVE-2023-22518/22515 Getshell 速通

对 CVE-2023-22518 的一波分析

0
3
Nookipop
发布于 2023-11-13 10:07:47
阅读 ( 26061 )

【Web实战】哥斯拉全语言流量分析

哥斯拉是继菜刀、蚁剑、冰蝎之后的又一个webshell利器，这里就不过多介绍了。 GitHub地址：https://github.com/BeichenDream/Godzilla 很多一线师傅不太了解其中的加解密手法，无法进行解密，这篇文章介绍了解密的方式方法，主要补全了网上缺少的ASP流量分析、PHP解密脚本和C#解密脚本。