你尚未登录

未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。 加入『代码审计』知识星球即可查看所有内容。

2024 三月 05
SolarWinds Security Event Manager AMF 反序列化 RCE (CVE-2......

附件


# 附件名 大小 时间 操作
SolarWinds Security Event Manager AMF 反序列化 RCE (CVE-2024-0692).pdf 4.5 MB 03/05/2024
2024 二月 28
Hessian UTF......

附件


# 附件名 大小 时间 操作
Hessian UTF-8 Overlong Encoding.pdf 2.8 MB 02/28/2024
2024 二月 28
mb_strpos与mb_substr执行差异导致的宽字节漏洞 在我写《UTF-8 Overlong Encoding导致的安全问题》文章的那天......

附件


# 附件名 大小 时间 操作
mb_strpos与mb_substr执行差异导致的宽字节漏洞.pdf 517.6 KB 02/28/2024
2024 二月 24
以Apache Solr CVE-2017-12629为例,介绍一下三种Error Based XXE在实战中利用的方法。 写这个帖子的原因是,今天下午有个同学提到Java高版本XXE无回显的......

图片


2024 二月 23
@1ue 今天师傅发的这个帖子《探索Java反序列化绕WAF新姿势》很有趣:https://t.zsxq......

图片


1ue

2024 二月 23
...

附件


# 附件名 大小 时间 操作
探索Java反序列化绕WAF新姿势.pdf 1.0 MB 02/23/2024
2024 二月 22
汇总一下之前所有星球里提到的所有公告,作为新人入圈的指南。 ▌我的联系方式 星球用户都可以直接加我的微信好友:phith0n。遇到任何星球相关的问题都可以问我,知识星球官方私信不太好用,基本不用了。 加好友时,请备注你的昵称和你在『代码审计』星球里的用户编号(在手机App=>代码审计星球=>星球名片中查看)。 ▌微信群 我们星球有微信群,但因为人数上限限制不能加所有人,所以加群有一定门槛。 满足任何一个条件即可加群: 1. 发布精华帖子 2. 上一个月的知识星球积分排行榜前10名 满足加群条件的,可以直接微信找我。我也会主动联系精华作者,所以大家也关注一下自己的私信。 ▌精华帖子 星球鼓励大家发表原创帖子,质量高的帖子会设为精华,发表精华帖子的同学在精华作者群会有现金红包感谢。 通常,原创文章、有趣的trick、高质量的提问和回答等会被设置为精华。但如果你只是分享了自己文章的链接,通常不会被设置为精华,建议文章以pdf形式分享,这样阅读体验最佳。 ▌星球官网 我们星球有一个官方网站:首页 - 『代码审计』知识星球 里面会提供一些额外的资料和福利,比如: 1. 参与官方各种活动 2. 支持使用RSS订阅所有安全相关微信公众号 2. 内部资料下载 3. 更方便地查看历史帖子,下载附件 4. 在知识星球无法访问时能找回账号,继续浏览代码审计知识星球的内容 但官网的大部分内容需要登录并绑定星球身份后查看,绑定的方法可以参考这个指南:官网认证 - 『代码审计』知识星球 绑定账号时需要向“小助手”提问,你的提问不会被其他用户看到,所以不必担心。绑定完成后,你需要自行登录官网查看,不会有任何通知。 如果绑定账号一直没有通过,可能的原因有: 1. 新加入星球的成员,需要等待三天后方可通过认证 2. 使用匿名身份提问无法通过 3. 认证码填写错误导致无法通过 4. 机器人还没有来得及处理(每天6am处理),可以找我处理 ▌内容管理 违法内容,如嘿铲、灰产、擦边球等内容会被视为违规帖子删除,多次违反将会被拉黑处理。拉黑后的用户仍然能够查看星球内容,但发表的任何帖子、回复都不会显示,无法被他人查看。 通常我会将一些没有太多参考价值的帖子增加“交流讨论”的标签,拥有这个标签的帖子不会显示在信息流里。但这类帖子也没有被删除,你可以点击“交流讨论”标签查看这类帖子。 哪些内容可能会被增加“交流讨论”标签? 1. 问题比较个人化,对其他人参考价值较低的 2. 问题比较简单或曾多次出现过。这类问题我一般都直接在评论区回复了,然后增加“交流讨论”标签 3. 提的问题太过空洞,比如“我怎么学好代码审计”。这类问题不是一个帖子能够说清楚的,所以质量不高 4. 直接分享代码询问漏洞,但自己没有发表自己思考的 总之,增加该标签不代表你的帖子有错误,很多的我也会回复,我只是希望信息流中的帖子以分享和高质量的提问为主,这样对其他用户的参考价值更高。 关于星球的规范,大家也可以看看我在创圈之初的2016年写的一个内容:入圈指南 - 『代码审计』知识星球
2024 二月 18
在这篇文章【一次对 Tui Editor XSS 的挖掘与分析 一次对 Tui Editor XSS 的挖掘与分析 | 离别歌】中星主使用svg和use的方法绕过XSS检测中提到“这两种绕过方式......

图片


2024 二月 16
最近研究了下ssti,算是找了个在spring下针对不同模板引擎比较通用的办法。利用context=springMacroRequestCo......

附件


# 附件名 大小 时间 操作
探索spring下SSTI通用方法.pdf 6.2 MB 02/16/2024
2024 二月 12
今天看了下CVE-2023-22527这个漏洞,总感觉还少了点......

附件


# 附件名 大小 时间 操作
Atlassian Confluence CVE-2023-22527 分析及武器化实现.pdf 6.9 MB 02/12/2024