05 2024 档案
摘要:engine.eval(validationRules); 命令执行的修复方式: 只对3个内部执行命令的类做了黑名单。 Nashorn 是 Java 8 引入的 JavaScript 引擎,允许在js代码中调用java的类与方法。 这里的类指的是项目中的所有类,不局限于JDK,相当于我们可以调用项目
阅读全文
摘要:JWT密钥硬编码,加密算法失效。 对代码审计而言,加密算法的安全性取决于密钥的机密性。 { "header": { "typ": "JWT", "alg": "HS256" }, "payload": { "type": 0, "uuid": "04ad4a8524694c05bd6896d582a
阅读全文
摘要:AJ-Report是全开源的一个BI平台。在其1.4.0版本及以前,存在一处认证绕过漏洞,攻击者利用该漏洞可以绕过权限校验并执行任意代码。 补丁对比 方法一 从docker拖出代码,去gitee下载发行版,便于对比编译后的class。 方法二 查看git的commit记录,可以直接看到修改了哪些内容
阅读全文
摘要:https://docs.projectdiscovery.io/templates/reference/matchers https://furina.org.cn/2023/10/05/Nuclei/ https://t.zsxq.com/bIoTf 认证绕过+sql注入 poc GET /C6
阅读全文
摘要:https://github.com/vulhub/vulhub/blob/master/nexus/CVE-2024-4956/README.zh-cn.md https://ares-x.com/2020/04/20/IDEA远程调试Docker中程序的方法/ https://t.zsxq.co
阅读全文
摘要:内联函数 内联函数是一种特殊的 C++ 函数,编译器会将它的代码直接插入到调用它的位置,而不是像普通函数那样进行函数调用。这可以减少函数调用的开销,从而提高性能。 #include <iostream> using namespace std; int func(int v1, int v2) {
阅读全文
摘要:参考:轩辕之风——从0开始学逆向第7天 函数调用约定 定义 在计算机科学中,调用约定是一种定义子过程从调用处接受参数以及返回结果的方法的约定。 不同调用约定的区别在于: 参数和返回值放置的位置、参数传递的顺序、调用前设置和调用后清理的工作,在调用者和被调用者之间如何分配,被调用者可以直接使用哪一个寄
阅读全文
浙公网安备 33010602011771号