先知技术社区

justDeserialize 绕过黑名单挖掘利用链

Java中的XMLDecoder是java.beans包提供的一个用于将XML数据反序列化为Java对象的工具类，它常被用于将符合Java Beans规范的类与XML格式数据进行转换，但其设计特性也导致了严重的安全漏洞

利用链寻找利器 CodeQL：如何精准定位二次反序列化漏洞

ai越狱实践,prompt构造思考记录

文章主要对python中Bottle框架的模板引擎渲染的安全漏洞问题进行原理分析和利用

PB-CMS v2.0代码审计

LLVM IR 在网络安全中的应用

Ingress-nginx 恶意配置文件RCE

webshell免杀之浅谈phpwebshell中如何控制传入内容

XSLeaks 技术利用XS-Leaks 概述XS-Leaks 全称 Cross-site leaks，可以用来探测用户敏感信息。其与跨站请求伪造 CSRF 技术比较类似，主要区别在于，XS-Leaks 不是允许其他网站代表用户执行操作，而是可用通过测信道来推断用户信息。浏览器提供各种功能来支持不同 Web 应用程序之间的交互。例如，它们允许网站加载子资源、导航或向另一个应用程序发送消息。虽然此类

Ethernaut（1-5）详解

2025软件安全赛pwn encoder题解

本文深入解析glibc-2.29中realloc函数的源码，包括不同场景下的内存分配与释放逻辑，如oldmem为空、size为0等特殊情况处理。重点分析了_int_realloc函数在调整堆块大小时的实现细节，以及如何通过unlink操作造成堆块重叠，从而实现对任意地址的覆盖攻击。结合实际CTF赛题，展示了利用off-by-one漏洞修改size字段，进而控制堆布局完成ROP链执行的具体方法。

赛后复现

从实际案例入门il2cpp逆向的基本步骤，介绍了常用工具与分析方法

深入解析：高版本 JRE 下 H2 RCE 绕过新思路

hutool依赖利用链挖掘分析

Tenda AC15路由器的各种cve漏洞

NSSCTF Round#28 WEB题解

sctf复现