*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。4172019年4月17日，CNVD 发布《关于Oracle WebLogic wls9-async组件存...

一、前言NetDataContractSerializer和DataContractSerializer一样用于序列化和反序列化Windows Communication Foundation (WCF) 消息中发送的数据。两者之间存在一个重要区别：NetDataContractS...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。*本文原创作者：walkerfuz，本文属FreeBuf原创奖励计划，未经许可禁止...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。从 CVE-2017-3506 为起点至今，weblogic 接二连三的吧爆出了大量的反...

Trivy是一款针对容器适用于CI的漏洞扫描器。准确性对比在Alpine Linux上检测到的漏洞数量（截至2019/05/12） 有关详请，请参阅与其他扫描器的比较部分。概要Trivy（tri发音像trigger，vy发音像e...

前言2017 年 9 月 5 日，由国外安全研究组织 lgtm.com 的安全研究人员发现的严重漏洞在Apache Struts 2官方发布，漏洞编号为 CVE-2017-9805（S2-052）, 攻击者可以传入精心构造的xml数据，远程...

本内容是关于如何在Linux上的VirtualBox中运行macOS Catalina Beta版的简短指南。 在开始之前你需要做以下准备： Linux x86_64（我使用的是Mint 19.1）英特尔酷睿CPU，不少于8 GB的内存和...

引言很多 Android 组件都有响应外部链接的能力，如果攻击者能随意的指定这些组件所响应的 url，轻则可以引导被攻击的 APP 弹出钓鱼页面，重则可能远程执行恶意 js 代码。因此 APP 开发者必然要...

引言weblogic中两个CVE漏洞比较有意思，所以复现一下，该两个漏洞需要在poc中加入用户名和密码（cookie）才能实现。环境搭建 环境搭建： 首先安装weblogic 下载地址 http://www.oracle.com...

前段时间写的文章，在微博上说7月底结束分享一下，总算可以发了。感谢 @voidfyoo 提出的这个问题。今天遇到一个代码，大致如下：<?php $filename = $_FILES['image']['tmp_name']; $size = g...