首页
社区
课程
招聘
问答 企服 专栏 CTF 排行榜 知识库 工具下载 看雪峰会 看雪20年 看雪商城 证书查询
  1. 专栏首页
  2. Kxzl_mb_wtyofivj
Kxzl_mb_wtyofivj
人关注  |  72 篇文章

浅谈Apache与CVE-2023-20860

一般情况下,开发者配置鉴权时,可能都会遵循一个原则,就是"优先使用/**认证兜底,明确哪些接口无需认证,而不是明确哪些接口需要认证。
网络安全 技术 安全研究 漏洞分析 系统相关
SecIN 评论
52979 人阅读・2023-07-07 16:57

浅谈Apache与CVE-2023-20860

 一般情况下,开发者配置鉴权时,可能都会遵循一个原则,就是"优先使用/**认证兜底,明确哪些接口无需认证,而不是明确哪些接口需要认证。
网络安全 技术 安全研究 漏洞分析 系统相关
SecIN 评论
35614 人阅读・2023-06-30 15:39

浅谈SpringSecurity与CVE-2023-22602

一、前言  前段时间Apache报告了CVE-2023-22602,由于 1.11.0 及之前版本的 Shiro 只兼容 Spring 的ant-style路径匹配模式(pattern matching),且 2.6 及之后版本的 Spring Boot 将 ...
技术 网络安全 安全研究 漏洞分析 系统相关
SecIN 评论
69826 人阅读・2023-06-30 14:13

文件上传漏洞总结

文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。一般都是指“上传Web脚本能够被服务器解析”的问题。
网络安全 漏洞分析 技术 安全研究 安全漏洞
SecIN 评论
81981 人阅读・2023-01-16 17:15

java反序列化从0到cc1

java安全已成为安全从业者必不可少的技能,而反序列化又是Java安全非常重要的一环。又是本文将从0基础开始,带着大家层层递进,从java基础到URLDNS链到最终理解反序列化cc1链
网络安全 技术 安全研究 源码分析 安全漏洞
SecIN 评论
44413 人阅读・2023-01-10 15:46

AspectJWeaver利用链绕过serialKiller

serialKiller原理: 通过重写ObjectInputStream 类中的resolveClass方法加入黑名单来限制反序列化的类,黑名单配置为serialkiller.conf
网络安全 技术 漏洞利用 安全研究 源码分析
SecIN 评论
46468 人阅读・2023-01-09 18:04

Thinkphp3.2.3 SQl注入总结

ThinkPHP是一个快速、简单的基于MVC和面向对象的轻量级PHP开发框架。本文基于ThinkPHP3.2.3框架实现了SQL注入漏洞复现。
网络安全 漏洞分析 安全研究 技术 源码分析
SecIN 评论
45524 人阅读・2022-12-21 15:10

SPEL注入流程分析及CTF中如何使用

SpEL表达式注入 Spring Expression Language(简称SpEL)是一种功能强大的表达式语言,用于在运行时查询和操作对象图;语法上称为Unified EL,但提供了更多的特性,特别是方法调用和基本字符SpEL的生成是为了给Spring社区提供一种能够与Spring生态系统所有产品无缝对接,能提供一站式支持的表达式语言。
网络安全 漏洞分析 漏洞利用 技术 基础理论
SecIN 评论
54446 人阅读・2022-12-14 12:51

从Deserialization和覆盖trustURLCodebase进行JNDI注入

DeserializationLDAP在通过LDAP协议访问远程服务的时候,我们可以跟进到 LdapCtx#c_lookup方法中这里调用了 doSearchOnce方法获取LDAP远程返回的Result数据到最后会来到 Ldap...
网络安全 漏洞利用 技术 网络攻击 源码分析
SecIN 评论
41550 人阅读・2022-12-06 10:50

浅谈CVE-2022-22965漏洞成因

纸上得来终觉浅,绝知此事要躬行
网络安全 漏洞分析 技术 源码分析 安全研究
SecIN 评论
64201 人阅读・2022-11-29 14:32
Based on xiuno BBS | 域名:加速乐 保护 | SSL证书:亚洲诚信
©2018 - 2026 看雪招聘 / 沪ICP备2022023406号-1 / 沪公网安备 31011502006611号

官方公众号

官方微博

官方QQ