Aggregator

Agentic / Context

面向大模型隐私推理的安全协议-MPC与ZK的角色分工

通过精心构造 php://filter 链，在不写入任何文件的前提下，将一个普通的本地文件包含（LFI）漏洞直接升级为远程代码执行（RCE）。

Apache Camel JMS 反序列化(CVE-2026-40860)漏洞分析漏洞概述Apache Camel 的核心目标是把各种不同的系统、协议和数据格式“粘合”在一起。它实现了著名的企业集成模式（Enterprise Integration Patterns, EIP），比如拆分消息、聚合消息、动态路由等。受影响版本中，JmsBinding.extractBodyFromJms() 方法在

记录一条新的hessian二次反序列化链的完整分析过程

海量IP地址字符串转码生成shellcode、Beacon木马伪造Referer请求头为10086官网

通过 Java Attach API的底层Unix Domain Socket通信协议，结合Linux内核memfd_create系统调用实现纯内存态Agent注入。

从受限JavaScript沙箱到宿主Java环境的完整攻击链构造与纵深防御

在 Markdown、公式渲染等富内容处理场景下，由于第三方组件与浏览器底层（HTML、URL、JS 解析器）在实体解码、协议提取和规范化处理上存在机制差异，极易引发解析层面的语义错位，导致了XSS防御体系的 Bypass

本文基于泛微e9（9.00.210804版本），系统阐述OA系统的安全审计方法。文章涵盖环境搭建、六大类路由（/weaver/、/api/、/services/*、/dwr/*等）的分析，详细剖析SecurityMain安全过滤机制、XssRequestWeblogic参数过滤、登录绕过等技术要点。通过FileDownloadLocation文件读取、browser.jsp SQL注入等实战案例，

Java 反序列化、ObjectInputFilter、JEP 415、Gadget Chain、JDK 21、绕过技术、SignedObject

Foreign Function & Memory API（FFM API）是 JDK 21 引入的用于替代 JNI 的本地互操作接口。

一款伪装成豆包Claw的恶意项目仍在活跃

利用 TEXT 段页对齐产生的代码洞（Code Cave），结合 PT_NOTE 段头篡改为 PT_LOAD 的手法，在不改变目标文件大小的前提下，向合法 ELF 程序注入自定义可执行载荷。感染后的程序功能表现完全不受影响，仅哈希值发生变化。

JDK 9 引入 Java Platform Module System（JPMS），把 JDK 内部实现按模块划分，用 exports 和 opens 两个指令控制包的可见性。JDK 16 将 --illegal-access 默认值改为 deny，JDK 17 直接移除该选项。到 JDK 21，强封装已成为不可逆的既成事实。

文字来自本人实战经历（已修复）