先知技术社区

2025春秋杯夏季赛云境靶场wp

这篇文章主要是给没有学习过js逆向的师傅学习的，分享一些js逆向基础知识，js实战断点调试技巧以及后面分享js逆向靶场搭建以及js逆向前端加密对抗，拿微信小程序常用的AES、RSA和明文Sign 签名校验绕过几个方面给师傅们分享下操作技巧。最后分享下企业SRC实战案例。

从 mall 0day IDOR 挖掘看 Spring 权限管理

信呼OA最新版前台SQL注入披露与挖掘过程

由一道CTF题目展开对Nginx 解析漏洞实现路径绕过学习

在经历了那么多伦的 JDBC 的攻防绕过，竟然还能有最新的绕过手法，学习了技巧后,发现核心原理就是 json 的解析覆盖属性，以前也用过这个 trick，没想到还能在 jdbc 绕过用到这个 trick，而且感觉这个思路很容易再去使用到其他框架上

介绍映像伪装常见的几种手法

渗透思路

第十届上海市大学生网络交全大赛Web&数据安全全解

详细解析了house of orange的全流程所使用到的各种堆利用、IO利用原理

xxl-job IDOR 0Day 漏洞挖掘

java jdk17 反序列化 模块检测

对一次诈骗app渗透测试

在保证数据库拥有者权益的情况下允许接收者计算最大修改位数的数据库水印方案

本文从DownUnderCTF 2025的一道web题，通过深入HandleBars源码来研究AST树注入问题与相应的防御措施

pickle配合types.CodeType实现接管任意函数，修改函数任意代码逻辑（类似内存马

基于RASP的通防工具：AWD-RASP

Burpy加解密插件使用

学到这个 trick 的时候只能说，php 是最好的语言，还没有落幕，每次看到 php 的新 trick 都不得不为之震惊，如何没有 php 代码做到代码执行，实战价值很大，看下面分析 Deadsec 团队这次每一道题是真有东西

项目地址：https://github.com/linlinjava/litemall