简述：oasys是一个OA办公自动化系统，使用Maven进行项目管理，基于springboot框架开发的项目，mysql底层数据库，前端采用freemarker模板引擎，Bootstrap作为前端UI框架，集成了jpa、mybatis等框...

本期主题为调用System.exit()存在安全漏洞的相关介绍。一、为什么调用System.exit()存在安全漏洞?J2EE应用程序调用System.exit()，会关闭其容器。System.exit()其实是Java中结束进程的方法，调...

一、什么是HTTPS会话里的敏感Cookie没有设置'Secure'属性缺陷?HTTPS会话里的敏感Cookie没有设置'Secure'属性,这可能导致用户代理通过HTTP会话以纯文本格式发送这些cookie。...

一、什么是跨站脚本漏洞?从用户控制的输入到输出之前，软件没有对其进行过滤或没有正确过滤，这些输出用作向其他用户提供服务的网页。二、跨站脚本(XSS)漏洞通常在哪些情况下发生?1、不可信数据...

一、什么是表达式永假/永真缺陷?如果布尔表达式不改变程序逻辑，则完全没有必要，并且可以将其删除。如果执行逻辑与程序员的意图不匹配，这就是一个错误，布尔表达式应该被修复。二、表达式永假...

0x00 前言BinaryFormatter和SoapFormatter两个类之间的区别在于数据流的格式不同，其他的功能上两者差不多，BinaryFormatter位于命名空间 System.Runtime.Serialization.Formatters.Binary...

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！你能收获的1编程基础 | PHP代码审计（上）2编程基础 ...

0x00 前言SoapFormatter格式化器和下节课介绍的BinaryFormatter格式化器都是.NET内部实现的序列化功能的类，SoapFormatter直接派生自System.Object，位于命名空间System.Runtime.Serialization....

0x01代码审计的基本概念和流程1、代码审计的定义和背景Java代码审计是指对Java应用程序代码的分析，以确定是否存在安全漏洞和风险，并提出修复建议的过程。Java应用程序的开发在近年来已经成为...

0x01 背景ExpandedWrapper在XmlSerializer反序列化过程发挥了至关重要的作用，完美的扩展了两个泛型类且它的公开的属性可以存储投影结果，正是由于提供了这么多强大的功能才被反序列化漏洞发现...