JAVA

本文以哥斯拉和冰蝎为例，讲解如何使用反射机制来实现加密型webshell的免杀。 0x01 基础知识 反射是J…

译文声明 本文是翻译文章，文章原作者acm，文章来源：dl.acm.org 原文地址：https://dl.a…

最近要对接java发布的WebService，发现发送的ISOAPHeader居然格式十分奇怪~，百度谷歌提供…

作者：白帽汇安全研究院@kejaly 校对：白帽汇安全研究院@r4v3zn 前言 Apache Skywalk…

译文声明 本文是翻译文章，文章原作者Ruian Duan, Omar Alrawi, Ranjita Pai …

0x00 前言 在对大佬们高版本的POC进行分析后，我把重点放在了如何绕过黑名单限制上，那么利用XML可以解析…

本文从环境搭建入手，分析了Flink漏洞的调试和产生原因，针对两个漏洞的触发条件进行了细致的研究，总结漏洞的修…

0x01 前言 这里将分析Jackson反序列化漏洞（CVE-2020-36188）的分析过程，同时将会把如何…

0x00 前言 上次讲了关于Jackson的相关漏洞，这次首先来分析一下shiro的权限绕过漏洞的原理。本文首…

概述该样本为无文件门罗币挖矿，传播行为通过ms17010和hash传递进行传播，相关脚本保存在WMI 对象中，…

前言： 最近网上爆出Apache Flink漏洞CVE-2020-17518，影响范围从1.5.1到…

译文声明：本文是翻译文章，文章原作者ieee，文章来源：ieeexplore.ieee.org 译文仅供参考，…

背景： 基于现阶段红蓝对抗强度的提升，诸如WAF动态防御、态势感知、IDS恶意流量分析监测、文件多维特征监测、…

说一说 Stalker 我们常用 Frida hook天hook地，基于 Frida 的项目也遍地开花，是的 …

前段时间休假了半个月，在家无聊，也没有出去浪，像我们这种闲男，不陪lp和gf的话，肯定宅在这里。无聊，想找点事…

  一、原理 （一）概述 不安全的反序列化漏洞已成为针对Java Web应用程序的研究者的普遍目标。…

  前言 最近，全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击，其大量政府客户信…

  前言 最近，全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击，其大量政府客户信…

  最近测试某 asp 站点的时候，上传了Webshell，直接写死执行代码的马可以成功访问并执行；…

  一 、原理 （一）概述 概述链接1 概述链接2 接CVE-2015-4852， Oracle使用…

  引言 近期，XStream发布了关于CVE-2020-26217的公告，通过该漏洞攻击者可发送恶…

  假期，我学习复现并调试分析了WebLogic反序列化漏洞中的CVE-2015-4852。在这个过…

  0x01 漏洞背景 2020年11月01日， 360CERT监测到国外安全研究人员simon 通…

  简介 CVE-2019-5826是Google Chrome里IndexedDB中的Use-af…

译文声明 本文是翻译文章，文章原作者nightwatchcybersecurity，文章来源：nightwat…

  WebSphere简介 WebSphere 是 IBM 的软件平台。它包含了编写、运行和监视全天…

  背景 CVE-2020-0674是被APT组织Darkhotel所利用的一个漏洞，完整的APT分…

  0x01 漏洞背景 2020年06月29日， 360CERT监测发现 apache 官方 发布了…

  本篇将以URLDNS以及Commons Collections系列漏洞作为Java反序列化基础篇…

  0x01 漏洞背景 2020 年 06 月 08 日，360CERT监测到 IBM官方发布了 W…