0x01 简介SPEL全称是 Spring Expression Language ,是Spring创建的表达式语言。用户可以输入特定的表达式导致拒绝服务。大家在挖洞的过程中可以关…
fastjson 1.2.68版本绕过fastjson 1.2.68在之前版本1.2.47 版本漏洞爆发之后,官方在 1.2.48 对漏洞进行了修复。TypeUtils.loadC…
1 算法描述支持向量机(support vector machines, SVM)是一种二分类模型,它的基本模型是定义在特征空间上的间隔最大的线性分类器,学习策略为间隔最大化,可将…
随着网络安全威胁的不断增加,了解并预防可能的攻击变得至关重要。Blast-RADIUS 是一种严重影响 RADIUS 协议的安全漏洞,能够让攻击者绕过身份验证获取未经授权的访问权限…
自定义规则采用 cyber查询语言,关于cyber语法可以参考neo4j的 cyber 语言官方手册规则开发方法。铲子SAST的规则主要用于对图数据库进行查询,可以查询单个节点或数…
个人认为如果掌握软件工程相关知识,代码审计会更清晰,更具全局观以下的英文内容均引用自 《软件工程》[罗杰] 的英文原版1.Software Process:软件过程强调的是整个软件…
一.引子又一个悠闲的周五下午,小雷一边看着群里的大佬吹水,一边炫着隔壁经理的零食好生快活。 "小雷,我这儿有一套代码你要不要看看?"隔壁王师傅看出来小雷有些许无聊,于是拿出了自己珍…
Ha1ey@深蓝攻防实验室前言相信大家实战项目中遇到过很多某友NC或者NCCloud,关于这个产品的漏洞也是层出不穷,最多的就是反序列化漏洞了。在NC6.5这个产品版本的时候大家常…
漏洞概述WPS Office程序promecefpluginhost.exe存在不当路径验证问题,允许攻击者在Windows上加载任意Windows库文件。该漏洞已被APT-C-6…
近期,linux里面出现的9.9分高风险的远程代码执行漏洞引起了吃瓜群众的广泛关注。部分linux发行版中的cups相关服务存在远程代码执行漏洞,攻击者可以利用该漏洞在cups进程…