一文学习Spring依赖注入
简介在Spring框架中,为了确保组件之间的依赖关系得到正确管理和维护,建议使用依赖注入(Dependency Injection, DI)。依赖注入是一种设计模式,允许程序在运行时自动为类的成员变量
阅读全文emlog2.5.3代码审计(后台文件上传漏洞)
前言前几天在学代码审计,翻cnvd看到一个emlog的新漏洞,想着自己复现一下搭建访问官网找到对应版本下载即可https://www.emlog.net/解压到phpstudy的www目录下访问ins
阅读全文浏览器为何成为拦截钓鱼攻击的最佳防线:三大核心优势
2025年,钓鱼攻击仍是企业面临的主要安全威胁。随着攻击者更多采用基于身份认证的技术而非软件漏洞利用,钓鱼攻击的危害性甚至超过以往。攻击者正转向基于身份的攻击手段,钓鱼与凭证窃取(钓鱼的副产品)已成为
阅读全文原创 | 我的人生有多惨?看完这个故事我破防了
说实话,我以前一直觉得自己挺倒霉的。从小到大,我努力学习,成绩却总是平平无奇;长大后,我干啥都感觉差那么点火候,总是达不到自己心里的预期。有时候,我甚至觉得自己是不是这辈子就只能这样了,没啥出息。看了
阅读全文新型钓鱼攻击:SVG文件中植入恶意HTML文件
网络安全专家发现了一种利用SVG(可缩放矢量图形)文件格式的新型钓鱼技术,攻击者通过该技术向不知情的受害者投递恶意HTML内容。这种于2025年初首次被发现的威胁手段,标志着钓鱼战术的显著升级——攻击
阅读全文Java代码审计之命令执行漏洞详解
0x01 漏洞简介在Java代码审计中,命令执行漏洞指应用程序未对用户输入进行严格过滤,直接将外部可控参数拼接到系统命令中执行,导致攻击者可注入恶意命令并获取服务器控制权。其核心原理是开发者误用危险函
阅读全文Wordpress wpdm-premium-packages SQL注入漏洞(CVE-2025-24659)
插件介绍:Premium Packages 是一款免费的全功能 WordPress 电子商务插件,可轻松销售数字产品。漏洞描述:Premium Packages - Sell Digital Prod
阅读全文CVE-2024-22243 Spring Web UriComponentsBuilder URL 解析不当漏洞分析
漏洞描述Spring Framework 是一个开源的 Java 应用程序框架,UriComponentsBuilder 是 Spring Web 中用于构建和操作 URI 的工具类。受影响版本中,由
阅读全文全国青少年信息学奥赛大纲(NOI2025版)发布
在CCF NOI科学委员会与全国NOI界数十位指导教师的共同努力下,在广泛吸取各方意见的基础上,经过反复研讨,2025年版NOI大纲已修订完成.https://www.noi.cn/xw/2025-0
阅读全文浅谈SSO认证原理及常见安全问题
前言在一次测试过程中,遇到了一个公司的应用全部采用SSO登录的情况,所以就了解了一下SSO系统的原理以及可能存在的安全问题。简介单点登录是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应
阅读全文绕过关键字过滤并利用 Netcat 反弹 Shell 的完整流程
绕过关键字过滤并利用 Netcat 反弹 Shell 的完整流程1. 背景知识在渗透测试或命令注入攻击中,目标服务器可能会有关键字过滤(比如nc、bash、/bin/sh等)。为了绕过检测,我们可以使
阅读全文从CVE-2025-30208到CVE-2025-31125再到CVE-2025-31486
最近有花了一些时间看vite任意文件读取相关的一系列漏洞,下面打算以漏洞发现者的视角,讲讲这些漏洞的一些要点 CVE-2025-30208 CVE-2025-30208这个漏洞其实是历史漏洞CVE-2
阅读全文如何从 0 在不断调试中挖掘一条新利用链
前言 在挖掘在 hutool 组件的漏洞的时候,尝试构造利用 POC 的时候并不是那么顺利,最后也是一步一步不断调试分析构造出了我们的 POC 失败的调用 起源在一次失败的调用 import cn.h
阅读全文全民国家安全教育走深走实十周年
全民国家安全教育走深走实十周年— 第十个全民国家安全教育日 —2015年7月1日实施的《中华人民共和国国家安全法》第十四条规定:每年4月15日为全民国家安全教育日。2025年4月15日是第十个全民国家
阅读全文WinRAR "网络标记"绕过漏洞可导致攻击者执行任意代码
WinRAR最新披露的漏洞允许攻击者绕过Windows核心安全机制,在受影响系统上执行任意代码。该漏洞编号为CVE-2025-31334,影响7.11之前的所有WinRAR版本,CVSS评分为6.8分
阅读全文JDK 高版本下 JNDI 注入深度剖析
JDK 高版本 JNDI 注入限制 rmi 协议限制 测试 poc import javax.naming.Context; import javax.naming.InitialContext;
阅读全文CE固定小程序动态密钥后自动化加解密
前言 项目中遇到一个小程序,每次请求都动态生成AES密钥,请求包和响应包都是用AES加密。 最开始的思路是通过重新打包小程序,把密钥设置为固定值,但这个小程序有做完整性检测,会报告小程序损坏,
阅读全文rust编译平台常见攻击利用方法
ust编译平台常见攻击利用方法 近年来,随着 Rust 语言在高性能、内存安全等领域的优势被广泛认可,越来越多的开发者选择将其应用于后端开发,尤其在 WebAssembly、微服务和高并发场景中表现亮
阅读全文原创 | 一文读懂PHP反序列化漏洞
PHP 反序列化漏洞概述在PHP中,序列化是把对象转化为可以存储或传输的字符串的过程,而反序列化则是将这个字符串再转换回对象的过程。PHP反序列化漏洞指的是攻击者能够操控反序列化过程,从而执行任意代码
阅读全文原创 | Web渗透测试中信息收集常用的Python脚本
在Web渗透测试中,信息收集是关键的第一步,它可以帮助渗透测试人员了解目标系统的环境、配置和潜在漏洞。Python是一种非常适合用于信息收集的语言,因为它提供了丰富的库和框架。以下是一些常用的Pyth
阅读全文深入Vite任意文件读取与分析复现
Vite 任意文件读取漏洞(CVE-2025-30208) 前言 看到群里有人发了一个链接https://github.com/ThumpBo/CVE-2025-30208-EXP 发现这个漏洞危害很
阅读全文YII 2 反序列化挖掘与分析
环境部署 选择 basic 包, 定位到 config/web.php 中将 cookieValidationKey 的值改为 demo,然后访问/web/index.php。 在文件 contro
阅读全文2025-软件系统安全攻防半决赛Wp
pwn patch,evilpatch工具通防 Misc 取证1 要求是去找证书模版名字和序列号 先挂载镜像,然后去翻文件翻到一个 翻到这个hack-CA的ebp文件,然后用主办方给的工具
阅读全文浅谈DNS重绑定攻击
浅谈DNS重绑定攻击一、 简介DNS重绑定攻击是一种比较早期的攻击手段,最近工作中遇到并浅浅分析了一下,简单记录下。二、 几个涉及到的名词介绍同源策略同源策略/SOP(Same origin poli
阅读全文RCE漏洞原理及危害、相关危险函数
首先先了解什么是RCE漏洞(Remote Code|Command Execute):由于程序中预留了执行代码或者命令的接口,并且提供了给用户使用的界面,导致被黑客利用, 控制服务器。漏洞原理:代码执
阅读全文