环境搭建源码：https://gitee.com/y_project/RuoYi/tree/v4.8.1环境：mysql+IDEA新建数据库ry，导入ry_20250416.sql与quartz.sql文件，修改配置文件application-druid.yml账号密码本地环境搭建POCshiro利用漏洞点位置：com/ruoyi/web/controller/monitor/CacheContr

小智ESP32管理平台代码审计分析

先知技术社区

1 hour 36 minutes ago

本文对Xiaozhi ESP32 Java服务端进行代码审计，发现存在鉴权绕过、未授权访问、JWT密钥硬编码及任意文件上传等高危漏洞。

Apache CXF RCE(CVE-2025-48913)漏洞分析

先知技术社区

1 hour 43 minutes ago

受影响版本中，JMS传输模块的JndiHelper类在初始化JNDI环境时，未对外部传入的java.naming.provider.url配置项进行安全校验。攻击者若能控制此配置项，可将其指向一个恶意的RMI或LDAP服务地址，导致后续的JNDI查找操作加载并执行远程服务器上的恶意代码，导致远程代码执行。

银狐木马留痕分析 (一)文件痕迹

先知技术社区

1 hour 45 minutes ago

银狐，又名Winos 或 ValleyRAT。流传范围最广的是Winos4.0版本，本文对其在受害主机留下的文件相关痕迹进行分析总结，提取出关键信息以便后续的溯源分析，并给一键dump脚本，便捷提取出所有留下的蛛丝马迹。

React 服务器组件原型链漏洞（CVE-2025-55182）

先知技术社区

2 hours 24 minutes ago

漏洞描述在React Server Components版本19.0.0、19.1.0、19.1.1和19.20中存在一个预认证远程代码执行漏洞，包括以下包：react-server-dom-parcel、react-server-dom-turbopack和react-serverdom-webpack。漏洞代码不安全地从HTTP请求到Server Function端点的负载中反序列化环境搭建h

React 框架 CVE-2025-55182 RCE CVSS 10.0分析

先知技术社区

2 hours 52 minutes ago

1、前言趁热热乎的，快来上一口昨日爆出的 CVE-2025-55182，CVSS 10.0 满分严重漏洞，影响 React 19 及所有 Next.js 15/16 项目。核心问题是 React Server Components 的 Flight 协议存在不安全反序列化，无需任何认证，攻击者只需向 Server Actions 端点发送一个精心构造的 multipart 请求，即可实现远程代码

记一次测试未授权接口需要的AES加密逆向

先知技术社区

2 hours 52 minutes ago

当你在测试的时候发现了一个可撸的接口，但是他的请求数据包却是加密的，这时候就要用到JS逆向了

从 zip 文件格式深入研究伪加密原理

先知技术社区

3 hours 11 minutes ago

先分析整个 zip 文件格式，再学习伪加密，最后分析各大压缩文件判断是否加密的方法

深度解析：Spring MVC代码审计实战

先知技术社区

3 hours 27 minutes ago

前言现在绝大多数的新项目都是基于Spring Boot的Spring MVC实现，这里也主要以Spring MVC框架展开讲解。在Spring3.0版本,引入了Java注解，我们只需要使用Spring MVC注解就可以轻松完成Spring MVC的配置了。下面介绍一下Spring 注解配置Spring Controller 类级别注解1. @Controller作用：标识一个类为 Spring M