【Web实战】内存马系列 Netty/WebFlux 内存马
XXL-JOB EXECUTOR/Flink 对应的内存马
- 1
- 1
- Nookipop
- 发布于 2023-11-30 09:00:02
- 阅读 ( 6475 )
Nookipop
【Web实战】浅谈Jersey中常见的鉴权措施
跟SpringMvc一样,Jersey也提供了类似过滤器和拦截器的功能,辅助进行类似鉴权类业务需求的开发。简单总结下Jersey中常用的鉴权措施。
- 0
- 1
- tkswifty
- 发布于 2023-11-23 10:00:01
- 阅读 ( 5769 )
tkswifty
某Cloud系统漏洞分析
最近学习反序列漏洞时,恰好看到某系统官方在安全公告中通告了较多的反序列化漏洞。出于兴趣,尝试对该系统的公开漏洞进行一次个人的浅浅分析。如有不对之处,请各位师傅指正并包涵。
- 4
- 1
- 中铁13层打工人
- 发布于 2023-11-13 09:00:01
- 阅读 ( 21743 )
中铁13层打工人
浅谈Maven三方包引入动态链接库排查方法
前段时间苹果、谷歌、Mozilla和微软等公司积极修复了libwebp组件中的缓冲区溢出漏洞,Maven中的不少依赖库也通过动态链接库的方式对libwebp进行了封装调用,跟在pom中直接/间接依赖不一样,这种问题可能更加复杂,快速找到这些引入了漏洞缺陷的依赖库并进行升级修复是很重要的。
- 1
- 1
- tkswifty
- 发布于 2023-10-23 09:00:00
- 阅读 ( 5801 )
Mori
Revisiting a UAC Bypass By Abusing Kerberos Tickets
Background 本文章的灵感来自 James Forshaw(@tiraniddo)在 BlackHat USA 2022 上分享的名为 “Taking Kerberos To The Next Level” 的议题,他分享的了滥用 Kerberos 票据实现 UAC 绕过的 Dem...
- 1
- 1
- Marcus_Holloway
- 发布于 2023-10-17 09:00:02
- 阅读 ( 5150 )
Marcus_Holloway
浅谈Spring与Filter&Interceptor解析过程
过滤器Filter&拦截器Interceptor是开发中常用到的重要组件,浅谈Spring与Filter&Interceptor解析过程。
- 1
- 1
- tkswifty
- 发布于 2023-09-25 09:00:00
- 阅读 ( 6839 )
Symfony反序列化链分析
前段时间看到phpggc更新了Symfony的RCE反序列化,但是只有poc没有详细的解释,所以这边文章来具体分析一下Symfony组件中的一条反序列化链
- 0
- 1
- 中铁13层打工人
- 发布于 2023-08-22 16:49:14
- 阅读 ( 10535 )
筑梦未来,英雄集结!补天校园GROW计划报名启动!
补天校园GROW计划将投入百万资金,召集1000名校园合作伙伴携手前行!
- 0
- 1
- 奇安信攻防社区
- 发布于 2023-08-07 14:32:43
- 阅读 ( 5207 )
奇安信攻防社区
bmstd
某CMS sql注入梅开二度
前几天在逛github时发现有个开源cms出了个sql注入的漏洞,虽然时几个月前被提出来的,最新版也已经被修复,但是网上没有详细的分析过程,所以这里对这个漏洞进行分析并给出其他几种payload
- 3
- 1
- 中铁13层打工人
- 发布于 2023-08-15 09:00:01
- 阅读 ( 9388 )
某游戏盒App的So层逆向
某游戏盒 App 的请求头值,都放在 So 层进行了加密,本文通过分析 So 完成协议逆向。
- 2
- 1
- bmstd
- 发布于 2023-08-14 09:00:01
- 阅读 ( 9425 )
浅谈Spring Security授权规则配置错误漏洞(CVE-2023-34035)
Spring官方发布了CVE-2023-34035,当应用程序使用了 requestMatchers(String) 和多个 Servlet(其中一个是 Spring MVC 的 DispatcherServlet)的情况下,Spring Security漏洞版本存在可能受到授权规则配置错误的影响。
- 0
- 1
- tkswifty
- 发布于 2023-08-11 09:00:01
- 阅读 ( 9466 )
浅谈Apache shiro 权限绕过漏洞(CVE-2023-34478)
Apache Shiro之前披露了CVE-2023-34478,对于类似目录穿越的请求,在非springframework特定的场景下可能存在权限绕过的可能。
- 1
- 1
- tkswifty
- 发布于 2023-08-07 09:00:01
- 阅读 ( 10970 )
浅谈SpringMVC参数处理过程
在Java生态中,Spring全家桶是比较常见的。浅谈SpringMVC的参数处理过程。
- 1
- 1
- tkswifty
- 发布于 2023-08-03 09:00:00
- 阅读 ( 6130 )
逆向3款App登录协议 - 论标准算法的危害
本文首先,使用 hook 技术,对两款采用 Java 层标准算法加密的 App 进行 hook ,实现较快速的对登录协议进行逆向分析。然后对 C/C++ 实现标准算法的步骤和代码进行研究,实现如何快速的找出 So 层用的是哪种加密方法,进而完成逆向分析。
- 2
- 1
- bmstd
- 发布于 2023-08-02 09:00:02
- 阅读 ( 7032 )
某CMS由无危害问题引发的SQL注入漏洞
本次是在某cms存在注入漏洞后,再尝试寻找其他注入时的尝试与思考,并成功发现存在大量的其他注入漏洞,希望能对大家带来启发。
- 0
- 1
- 中铁13层打工人
- 发布于 2023-07-27 09:00:03
- 阅读 ( 6370 )
某企业级商业智能大数据分析平台登录绕过分析
前几天smartbi爆出一个身份绕过的漏洞,使用特定接口就可以直接使用默认账户和密码即可登录系统,但是直接登陆却不行,所以这里来分析一下漏洞造成的原因 0x01 漏洞复现 发送以下payload POST /...
- 0
- 1
- 中铁13层打工人
- 发布于 2023-07-25 09:00:00
- 阅读 ( 6655 )
关于国外加域的m系列mac钓鱼
前言,前段时间研究了下在mac的钓鱼,以及在M系列的cs上线。有些公司也会把mac加入了统一管理。增加钓鱼利用难度,因为你本地用户只有普通用户权限,用户手动添加信任app,会要求输入管理员指令。本次可以通过简单的方式完成用户自动安装和信任木马程序,达到鱼儿咬钩的效果。
- 4
- 1
- Picture
- 发布于 2023-07-31 09:00:00
- 阅读 ( 6489 )
Picture
格基规约在ctf中的简单应用
2020年7月22日,美国国家标准局NIST公布了其举办的后量子密码标准竞赛的第三轮入选算法,在7个正式入选第三轮的算法中,有5个都属于格密码的范畴,而与此同时,在我国密码学会举办的后量子密码算法竞赛中,格密码也在其中占据了相当大的比例。本篇主要介绍格的基本概念,以及在ctf解题中常使用的LLL算法的应用条件和情况。
- 0
- 1
- cipher
- 发布于 2023-07-17 09:00:01
- 阅读 ( 7417 )
cipher