【WEB安全-分析一个政务网钓鱼攻击】此文章归类为：WEB安全。 今天是领导发了一个聊天软件的截图，一个工作人员发起了群聊，开启了全员禁言。群名为“京东购物补贴”，感觉应该是把自己权限能拉群的人都拉了进去。 实际上是他的电脑中毒，被远控，拉群发送钓鱼图片，要求大家扫码 钓鱼图片如下【「各位想要复现，必须保证环境安全，别搞得自己被钓了」

原创周杰伦12天前阅读: 23阅读时长: 9分钟

【WEB安全-Fastjson 漏洞复现】此文章归类为：WEB安全。 Fastjson 漏洞复现 前言 遇到问题可以先看注意事项！！！ 1.2.47-rce 漏洞编号：CVE-2017-18349 搭建环境 开启环境 1234# 开启环境docker compose up -d# 查看运行情况docker ps 出现这

原创周杰伦12天前阅读: 20阅读时长: 9分钟

【WEB安全-【漏洞与预防】Atlassian Confluence存在远程代码执行漏洞】此文章归类为：WEB安全。 1.典型案例本案例参考thedfirreport.com在2025年2月24日据发布的DFIR 报告LockBit 勒索软件利用CVE-2023-22527入侵 Confluence服务器最终导致勒索软件加密整个生产环境中

原创周杰伦15天前阅读: 24阅读时长: 8分钟

【WEB安全-Tk滑块篇之模型训练(底部交流群)】此文章归类为：WEB安全。 前言 免责声明: 本文内容仅供学习交流使用, 请勿用于其他用途, 如因使用本文内容而产生任何问题, 与作者无关, 如果本文侵害贵司权益, 请联系 zhiyitracer@163.com 下架处理 文章尽量还原每一步, 尽可能写的详细, 如果还是有问题

原创周杰伦16天前阅读: 28阅读时长: 9分钟

【WEB安全-文件上传学习【二】】此文章归类为：WEB安全。 7、php大小写绕过 原理：在服务器后台php后缀这个被过滤了，但其部分字母大写导致未被过滤，所以可以上传例如：Php、pHp来绕过上传，同时在后台会把这些部分字母大写的后缀当成php文件来解析 绕过：上传Php或pHp文件来进行绕过 实战：upload-la

原创周杰伦20天前阅读: 23阅读时长: 9分钟

【WEB安全-Java代码审计的技巧】此文章归类为：WEB安全。 个人公众号：从生活到技术上的安全 1. 反射魔法——绕过安全检查 123456789// 案例：通过反射调用私有危险方法try {    Class<?> clazz = Class.forName("com.vuln

原创周杰伦24天前阅读: 35阅读时长: 9分钟

【WEB安全-Java代码审计的手法和高级审计工具链】此文章归类为：WEB安全。 个人公众号：从生活到技术上的安全 一、静态分析体系 模式匹配法 正则表达式定位高危函数： 1234# 匹配PHP中危险函数调用pattern = r'(system|exec|shell_exec|passthru)\s*\('# 匹

原创周杰伦24天前阅读: 37阅读时长: 9分钟

【WEB安全-Java反序列化链CommonsCollections的绕过技巧】此文章归类为：WEB安全。 个人公众号：从生活到技术上的安全 一、JDK 高版本绕过（针对 8u71+ 的修复） 1. CC6 链构造技巧 12345678910111213141516171819202122232425262728293031// 使

原创周杰伦24天前阅读: 47阅读时长: 9分钟

【WEB安全-Java webshell的绕过】此文章归类为：WEB安全。 个人公众号：从生活到技术上的安全 一、基础绕过：混淆与编码 目标：绕过基于关键词（如Runtime,exec）的静态检测。 1234567891011121314151617<%!    // 1. Base64

原创周杰伦24天前阅读: 30阅读时长: 9分钟

【WEB安全-Java TemplatesImpl的深度利用技巧】此文章归类为：WEB安全。 个人公众号：从生活到技术上的安全 一、核心原理 com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl是 JDK 内置的 XSLT 处理器类，其defineTransletClas

原创周杰伦24天前阅读: 34阅读时长: 9分钟