先知技术社区

介绍映像伪装常见的几种手法

渗透思路

第十届上海市大学生网络交全大赛Web&数据安全全解

详细解析了house of orange的全流程所使用到的各种堆利用、IO利用原理

xxl-job IDOR 0Day 漏洞挖掘

java jdk17 反序列化 模块检测

对一次诈骗app渗透测试

在保证数据库拥有者权益的情况下允许接收者计算最大修改位数的数据库水印方案

本文从DownUnderCTF 2025的一道web题，通过深入HandleBars源码来研究AST树注入问题与相应的防御措施

pickle配合types.CodeType实现接管任意函数，修改函数任意代码逻辑（类似内存马

基于RASP的通防工具：AWD-RASP

Burpy加解密插件使用

学到这个 trick 的时候只能说，php 是最好的语言，还没有落幕，每次看到 php 的新 trick 都不得不为之震惊，如何没有 php 代码做到代码执行，实战价值很大，看下面分析 Deadsec 团队这次每一道题是真有东西

项目地址：https://github.com/linlinjava/litemall

第十届上海市大学生网络安全大赛 暨“磐石行动”2025第三届全国高校网络安全攻防活动

春秋云镜 网鼎杯2022半决赛

justCTF2025-Pwn部分WP

对于项目jshERP的3.5版本进行一个代码审计

通过Burp suite labs靶场来掌握JWT漏洞验证手法

2025年8月10日，用友官方发布关于NC系统ComboOperTools存在XML实体注入漏洞的修复通告，宣布修复了NC系统importCombo接口的XXE漏洞，攻击者通过构造恶意XML文件，利用 importCombo 接口上传并解析，实现任意文件读取或SSRF攻击等操作，进而可能导致敏感信息泄露或进一步的系统入侵。