Java安全-JNDI注入
1、JNDI基础JNDI的核心思想就是通过一个名字对应一个object对象,达到访问名字映射到对象的功能。JNDI 可以通过 RMI 查找远程服务以下是一个创建RMI接口的示例代码:创建远程接口实现继
阅读全文AI的攻与防:基于大模型漏洞基因库的威胁狩猎与企业级纵深防御
前言 在数字化时代,人工智能(AI)技术的飞速发展无疑为各行各业带来了革命性的变化。然而,随着AI技术的广泛应用,网络安全风险也随之增加,成为我们必须直面的严峻挑战。本文将深入探讨AI发展带来的
阅读全文从JDBC MySQL不出网攻击到spring临时文件利用
0x00 传统攻击流程我们之前传统的攻击流程由以下几个步骤来完成攻击者找到可以控制目标JDBC连接fakeServer的地方目标向fakeServer发起连接请求fakeServer向目标下发恶意数据
阅读全文RASP之内存马后渗透浅析
题目:在邑网杯线下赛有题Springboot附件是一个jar包还有一个rasp。RASPRASP全称是Runtime applicaion self-protection,在2014念提出的一种应用程
阅读全文浅析Java反序列化题目的一般思路
前言这段时间做了几道Java反序列化题目,发现很多题目都是类似的,并且可以通过一些非预期gadget打进去,就打算总结一下常见的题目类型以及各种解法,并提炼出一般性的思维方法。正文分析入口点拿到题目,
阅读全文Java代码审计之命令执行漏洞详解
0x01 漏洞简介在Java代码审计中,命令执行漏洞指应用程序未对用户输入进行严格过滤,直接将外部可控参数拼接到系统命令中执行,导致攻击者可注入恶意命令并获取服务器控制权。其核心原理是开发者误用危险函
阅读全文SRC之云服务业务逻辑案例
正常逻辑正常的业务逻辑为一年512g的流量需要,150+元,但是通过修改数据包,可以以0.43的价格购买到一年的流量即512g。1、自己注册账号进入控制台2、请选择好服务点击下一步3、点击确认订单抓包
阅读全文如何免杀自己的fscan
fscan二开绕过与免杀实录:从认识结构到免杀化绕过数字某绒前言在日益严格的安全环境下,传统的木马样本很容易被静态分析、行为分析所识别。本文记录我对某 Go 编写的fscan安全工具进行二次开发,通过
阅读全文基于 Golang 的新后门使用 Telegram Bot API 进行规避 C2作
网络安全研究人员发现了一种基于 Golang 的新型后门,该后门使用 Telegram 作为命令和控制 (C2) 通信机制。详细介绍了该恶意软件功能的 Netskope Threat Labs 将其描
阅读全文600万用户安装的Chrome扩展暗藏追踪代码
安全研究人员发现57款Chrome浏览器扩展存在高风险行为,这些扩展总安装量达600万次,具备监控用户浏览行为、获取域名cookie以及可能执行远程脚本等危险功能。隐蔽的分发方式这些扩展具有"隐身"特
阅读全文一文学习Spring依赖注入
简介在Spring框架中,为了确保组件之间的依赖关系得到正确管理和维护,建议使用依赖注入(Dependency Injection, DI)。依赖注入是一种设计模式,允许程序在运行时自动为类的成员变量
阅读全文emlog2.5.3代码审计(后台文件上传漏洞)
前言前几天在学代码审计,翻cnvd看到一个emlog的新漏洞,想着自己复现一下搭建访问官网找到对应版本下载即可https://www.emlog.net/解压到phpstudy的www目录下访问ins
阅读全文浏览器为何成为拦截钓鱼攻击的最佳防线:三大核心优势
2025年,钓鱼攻击仍是企业面临的主要安全威胁。随着攻击者更多采用基于身份认证的技术而非软件漏洞利用,钓鱼攻击的危害性甚至超过以往。攻击者正转向基于身份的攻击手段,钓鱼与凭证窃取(钓鱼的副产品)已成为
阅读全文原创 | 我的人生有多惨?看完这个故事我破防了
说实话,我以前一直觉得自己挺倒霉的。从小到大,我努力学习,成绩却总是平平无奇;长大后,我干啥都感觉差那么点火候,总是达不到自己心里的预期。有时候,我甚至觉得自己是不是这辈子就只能这样了,没啥出息。看了
阅读全文新型钓鱼攻击:SVG文件中植入恶意HTML文件
网络安全专家发现了一种利用SVG(可缩放矢量图形)文件格式的新型钓鱼技术,攻击者通过该技术向不知情的受害者投递恶意HTML内容。这种于2025年初首次被发现的威胁手段,标志着钓鱼战术的显著升级——攻击
阅读全文Java代码审计之命令执行漏洞详解
0x01 漏洞简介在Java代码审计中,命令执行漏洞指应用程序未对用户输入进行严格过滤,直接将外部可控参数拼接到系统命令中执行,导致攻击者可注入恶意命令并获取服务器控制权。其核心原理是开发者误用危险函
阅读全文Wordpress wpdm-premium-packages SQL注入漏洞(CVE-2025-24659)
插件介绍:Premium Packages 是一款免费的全功能 WordPress 电子商务插件,可轻松销售数字产品。漏洞描述:Premium Packages - Sell Digital Prod
阅读全文CVE-2024-22243 Spring Web UriComponentsBuilder URL 解析不当漏洞分析
漏洞描述Spring Framework 是一个开源的 Java 应用程序框架,UriComponentsBuilder 是 Spring Web 中用于构建和操作 URI 的工具类。受影响版本中,由
阅读全文全国青少年信息学奥赛大纲(NOI2025版)发布
在CCF NOI科学委员会与全国NOI界数十位指导教师的共同努力下,在广泛吸取各方意见的基础上,经过反复研讨,2025年版NOI大纲已修订完成.https://www.noi.cn/xw/2025-0
阅读全文浅谈SSO认证原理及常见安全问题
前言在一次测试过程中,遇到了一个公司的应用全部采用SSO登录的情况,所以就了解了一下SSO系统的原理以及可能存在的安全问题。简介单点登录是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应
阅读全文绕过关键字过滤并利用 Netcat 反弹 Shell 的完整流程
绕过关键字过滤并利用 Netcat 反弹 Shell 的完整流程1. 背景知识在渗透测试或命令注入攻击中,目标服务器可能会有关键字过滤(比如nc、bash、/bin/sh等)。为了绕过检测,我们可以使
阅读全文从CVE-2025-30208到CVE-2025-31125再到CVE-2025-31486
最近有花了一些时间看vite任意文件读取相关的一系列漏洞,下面打算以漏洞发现者的视角,讲讲这些漏洞的一些要点 CVE-2025-30208 CVE-2025-30208这个漏洞其实是历史漏洞CVE-2
阅读全文如何从 0 在不断调试中挖掘一条新利用链
前言 在挖掘在 hutool 组件的漏洞的时候,尝试构造利用 POC 的时候并不是那么顺利,最后也是一步一步不断调试分析构造出了我们的 POC 失败的调用 起源在一次失败的调用 import cn.h
阅读全文全民国家安全教育走深走实十周年
全民国家安全教育走深走实十周年— 第十个全民国家安全教育日 —2015年7月1日实施的《中华人民共和国国家安全法》第十四条规定:每年4月15日为全民国家安全教育日。2025年4月15日是第十个全民国家
阅读全文WinRAR "网络标记"绕过漏洞可导致攻击者执行任意代码
WinRAR最新披露的漏洞允许攻击者绕过Windows核心安全机制,在受影响系统上执行任意代码。该漏洞编号为CVE-2025-31334,影响7.11之前的所有WinRAR版本,CVSS评分为6.8分
阅读全文JDK 高版本下 JNDI 注入深度剖析
JDK 高版本 JNDI 注入限制 rmi 协议限制 测试 poc import javax.naming.Context; import javax.naming.InitialContext;
阅读全文