Aggregator

原域名已变更且将在2024年彻底废弃，请访问 https://govuln.com/news/ 查看新的RSS订阅

在经历了那么多伦的 JDBC 的攻防绕过，竟然还能有最新的绕过手法，学习了技巧后,发现核心原理就是 json 的解析覆盖属性，以前也用过这个 trick，没想到还能在 jdbc 绕过用到这个 trick，而且感觉这个思路很容易再去使用到其他框架上

通过Reddish这台靶机学习恶劣docker下的各种骚操作，以进行快速内网渗透，docker逃逸

文都 OA 云协同系统分析+漏洞挖掘

记一次实战因网络架构引发的源码审计

XPath注入学习与分析，XPath 是一种可以访问 XML 文件中的节和内容的查询语言。

学到这个 trick 的时候只能说，php 是最好的语言，还没有落幕，每次看到 php 的新 trick 都不得不为之震惊，如何没有 php 代码做到代码执行，实战价值很大，看下面分析 Deadsec 团队这次每一道题是真有东西

主要记录分享AWS的基础知识和研究过程

笔者最近在了解ai相关的内容。pytorch作为深度学习领域极具影响力的框架，自然是避不开的。上网搜索pytorch相关的漏洞，网上大部分都是对于rpc框架反序列化漏洞和命令注入漏洞的公告。这两个漏洞评分都在9分网上，公开了一段时间了，但是poc寥寥无几，网上也没有对此的分析，而且其中一个漏洞的cve编号被撤销了，这引发了笔者的好奇心，遂开始以下分析探索。

CCF智能汽车大赛（CCF Intelligent Vehicle Competition, CCF IVC）是中国计算机学会（CCF）主办的面向智能汽车领域的旗舰竞赛，每年举办一届，大赛旨在推进人才培养和个人成长。首届CCF智能汽车大赛（CCF IVC 2025）与第三届CCF智能汽车学术年会（CIVS 2025）同期举办。本届竞赛分为汽车安全攻防赛、自动驾驶仿真赛两个赛项。 本文是汽车安全攻防

从漏洞聚集现象到o2oa的20个0day漏洞挖掘

进程创建流程时间线中，通过AppVerifier和ShimEnginer接口来起到一种隐蔽的起进程形式的注入。

2025春秋杯夏季赛云境靶场wp

由一道CTF题目展开对Nginx 解析漏洞实现路径绕过学习

这篇文章主要是给没有学习过js逆向的师傅学习的，分享一些js逆向基础知识，js实战断点调试技巧以及后面分享js逆向靶场搭建以及js逆向前端加密对抗，拿微信小程序常用的AES、RSA和明文Sign 签名校验绕过几个方面给师傅们分享下操作技巧。最后分享下企业SRC实战案例。

pickle配合types.CodeType实现接管任意函数，修改函数任意代码逻辑（类似内存马

基于RASP的通防工具：AWD-RASP

D-Link DIR 615/645/815路由器1.03及之前的固件版本存在远程命令执行漏洞。该漏洞是由于service.cgi中拼接了HTTP POST请求中的数据，造成后台命令拼接，导致可执行任意命令。

本文作为CodeQL分析java反序列化gadget的第一期，面向CC链和CodeQL的初学者，会以漏洞挖掘者的视角，利用CodeQL重新挖掘并审计一遍CC1链，