Web安全

漏洞描述近日，补天漏洞响应平台通过某安全渠道了解到，Fastjson将在下个版本（1.2.69）修复一个重大的漏洞，小于1.2.69版本的Fastjson存在远程代码执行漏洞，可导致直接获取服务器权限。该漏洞利用门槛低，风险影响 ...

作者：LoRexxar’@知道创宇404实验室时间：2020年5月11日原文地址：https://paper.seebug.org/1197/ 周末看了一下这次空指针的第三次Web公开赛，稍微研究了下发现这是一份最新版DZ3.4几乎默认配置的环境，我们需要在 ...

作者：宽字节安全0x01 简介众所周知，CommonCollection Gadget主要是由ConstantTransformer，InvokerTransformer，ChainedTransformer构成。gadget主要通过Transformer接口的transform方法，对输入的对象做变换。Con ...

存在此漏洞Tomcat版本： 7.*分支7.0.100之前版本 8.*分支8.5.51之前版本 9.*分支9.0.31之前版本 漏洞原理见这里,此处只表RCE方式。 msf生成反弹马，监听首先使用msf生成反弹shell马，为方便上传之用直接生成为.png后 ...

2月20日，国家信息安全漏洞共享平台（CNVD）发布了Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）。该漏洞是由于Tomcat AJP协议存在缺陷而导致，攻击者利用该漏洞可通过构造特定参数，读取服务器webap ...

作者：[email protected]知道创宇404实验室日期：2019年11月18日原文链接：https://paper.seebug.org/1078/ QL是一种查询语言，支持对C++，C#，Java，JavaScript，Python，go等多种语言进行分析，可用于分析代码，查找代码中控制流等信息。之前笔者有简单

作者：LoRexxar'@知道创宇404实验室时间：2019年10月25日原文链接：https://paper.seebug.org/1063/国外安全研究员 Andrew Danau在解决一道 CTF 题目时发现，向目标服务器 URL 发送 %0a 符号时，服务返回异常，疑似存在漏洞。20

声明：本文关于详细升级方法部分引用至 GitHub 查看原文链接：http://suo.im/4DzZ0M背景介绍Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库。采用独创的算 法，将 parse 的速度提升到极致，超过所有 json 库，包括曾经号称最快的 jackso

漏洞验证：访问:xx.xx.xx.xx:xx/seeyon/htmlofficeservlet  查看回显显示DBSTEP V3.0     0       &

Oracle发布了4月份的补丁，详情见链接(https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html#AppendixFMW)@xxlegend在《weblogic CVE-2019-2647等相关XXE

@xxlegend在《Weblogic CVE-2019-2647等相关XXE漏洞分析》分析了其中的一个XXE漏洞点，并给出了PoC。刚入手java不久，本着学习的目的，自己尝试分析了其他几个点的XXE并构造了PoC。下面的分析我尽量描述自己思考以及PoC构造过程，新手真的会踩很多莫名其妙的坑。感谢

2019年04月17日，国家信息安全漏洞共享平台（CNVD）官方发布安全公告http://www.cnvd.org.cn/webinfo/show/4989称Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞，攻击者可利用该漏洞在未授权的情况下远程执行命令。随后知道

漏洞描述近日有媒体曝出最新的tp漏洞，该漏洞存在于\thinkphp\library\think\Request.php文件中method函数，其中$method变量是$this->method，其同等于POST的”_method”参数值导致了漏洞的发生威胁等级高修复方案:暂无修复方案POC c=

描述:今天圈内传出一张图小编紧急联系thinkphp作者流年:流年表示漏洞已经修补。修复建议:git更新最新框架代码  https://github.com/top-think/frameworkps:漏洞详情会在社区更新

概述RichFaces Framework 3.X到3.3.4很容易通过UserResource资源注入表达式语言（EL）。 远程未经身份验证的攻击者可以通过org.ajax4jsf.resource.UserResource $ UriData使用一系列java序列化对象来利用它来执行任意代码。C