AI×Cybersecurity Challenge线上初赛re方向wp 先知技术社区 2 hours 21 minutes ago AI×Cybersecurity Challenge线上初赛re方向wp
【EasyDecrypt 】 零代码参与、自动化加解密代理工具 先知技术社区 2 hours 21 minutes ago EasyDecrypt 用于解决安全测试中流量加密不可见、验签无法绕过的难题。工具无需编写代码来处理接口,只需要配置内置规则即可使加密数据在抓包工具中明文可见
从一个题入门fastjson反序列化 先知技术社区 2 hours 22 minutes ago 前言ezfastjson是我接触的第一个java题,断断续续也是研究了很长时间,本文将会详细介绍java题的操作流程供新手参考,毕竟有关java安全的问题难度高题量大而且入门资料很少。环境准备:JDK8,IDEA,jd-gui信息收集首先附件是一个jar文件,我们用jd-gui工具对jar包进行反编译我们重点关注控制器部分和依赖部分,先看Unser类这里有反序列化的入口,我们再去看一下依赖,结合题
AI×Cybersecurity Challenge线上初赛re wp 先知技术社区 2 hours 22 minutes ago AI×Cybersecurity Challenge人工智能网络安全挑战赛re wp
AI×Cybersecurity Challenge线上初赛部分web题wp 先知技术社区 2 hours 22 minutes ago AI×Cybersecurity Challenge人工智能网络安全挑战赛线上初赛部分web题wp
CVE-2026-12417 漏洞复现:SignUp & SignIn 弱 Token 未认证账号接管 先知技术社区 2 hours 23 minutes ago SignUp & SignIn 是一款 WordPress 用户注册/登录插件,提供 AJAX 注册、邮箱验证、密码重置等功能。2026 年该插件 ≤ 1.0.0 版本被披露存在 CVSS 9.8 的严重漏洞(CVE-2026-12417)——其账户激活码由 rand(1000, 9999) 生成,仅 9,000 种可能,且验证端点 wp_ajax_nopriv_pravel_check_acti
记一次随身wifi漏洞挖掘的全过程 先知技术社区 2 hours 23 minutes ago 前几日在学校水群里看到有群友给随身wifi刷了ubuntu,感觉很有意思,于是便去闲鱼上看看什么情况,发现猿莱氏骁龙410的SoC做的随身wifi,于是随便找了个店家直接下单购入,刷机玩玩。到货之后进行一个雷霆大拆解,如图:很显然啊,这个板子的型号是FY_UZ801_V2.1,网上找了找,似乎可以刷 OpenStick ,于是直接启动,刷机过程在https://www.cnblogs.com/la
Ruoyi SSTI 与 Thymeleaf bypass深探 先知技术社区 2 hours 25 minutes ago 本文讨论了Thymeleaf在Ruoyi特定版本下的攻击方式与绕过方法,给出了直接注入内存马的方法
CVE-2026-8133 漏洞复现首发:FilePress 未认证 SQL 注入 先知技术社区 2 hours 25 minutes ago FilePress 是一款基于 DZZ 框架的开源网盘/图库系统,提供文件管理、图片展示、分享外链等功能,由上海巧巧时代互联网科技公司开发维护,在 Gitee 上持续更新。2026 年 4 月 21 日,该软件 ≤ 2.2.0 版本被披露存在严重的 SQL 注入漏洞(CVE-2026-8133 / GHSA-pxqj-577f-7xfv)——其文件分享列表接口中的 order 参数在 ORDER
第四届黄河流域网安赛 ez3pring Java 原生反序列化漏洞利用 先知技术社区 2 hours 26 minutes ago 前言在第四届黄河流域公安院校网络安全技能挑战赛中有一道ez3pring是典型的java原生反序列化,今天我们来深入分析一下。看的出来t0mcater师傅真的很喜欢java了。。。信息收集源码依旧是给出了源码入口这里和ezfastjson差不多但是设置了WAF禁用了三个危险类com.fasterxml.jackson.databind.node.POJONodejava.security.Signe
自定义 ClassLoader 缺失 Sealed Package 校验导致包内类型注入 先知技术社区 2 hours 26 minutes ago 自定义 ClassLoader 读取 JAR 字节并直接调用 defineClass 时,JAR Manifest 中的 sealed package 约束可能不会生效。封闭包一旦在运行时被定义成普通包,外部 JAR 中的同包名类就可能进入同一个运行时包,并访问包级私有成员。