- 博客(8)
- 收藏
- 关注
RSS订阅原创 CVE-2025-24813 Tomcat 反序列化漏洞源码深度解析分析(下篇)
本文并非简单复现 CVE-2025-24813,区别于市面上多数仅停留在 POC 运行的文章。基于 Tomcat 源码,通过深入分析调用链与反序列化机制,全面还原漏洞的触发原理与底层实现。适合希望真正理解漏洞本质和内在机制的安全研究者阅读。
2025-07-21 14:30:02
899
原创 错误的 CVE:CVE-2025-4012并非SSRF漏洞
CVE-2025-4012 曾被认定为 PlayEdu 系统中的 SSRF 漏洞,认为可以通过操纵Avatar参数导致服务器端请求伪造(SSRF)攻击。本文通过源码审计与实际测试发现,该漏洞实为客户端行为,服务器从未发起外部请求,属典型误判。我们已将相关证据反馈 CVE 官方,建议修正漏洞描述,以避免对安全研究与响应工作的误导。
2025-07-15 18:11:40
1043
原创 CVE-2025-24813 Tomcat 反序列化漏洞源码深度解析分析(上篇)
本文并非简单复现 CVE-2025-24813,区别于市面上多数仅停留在 POC 运行的文章。基于 Tomcat 源码,通过深入分析调用链与反序列化机制,全面还原漏洞的触发原理与底层实现。适合希望真正理解漏洞本质和内在机制的安全研究者阅读。
2025-07-15 17:21:55
1062
原创 CodeQL 新时代:新语法、新 API 与 Java 漏洞挖掘实践
本文是「CodeQL 新版 API 与 Java 漏洞挖掘实战」专栏的第一篇,旨在帮助你从 0 理解 CodeQL 的发展历史、数据流 API 的演进过程,并通过实战案例掌握新版语法的用法。
2025-07-14 14:29:28
1184
原创 [特殊字符]从 MTCNN 到 FaceNet,再到 KNN 阈值:人脸识别背后的故事
2015 年,Google 研究团队在 CVPR 上发表了 FaceNet,其核心创新在于:不再输出类别标签,而是直接学习一个嵌入空间(embedding space),在其中,同一个人的人脸向量尽可能靠近,不同人的向量尽可能远离。这种方法使用了一种叫做Triplet Loss(三元组损失)Anchor:当前人脸图像Positive:同一人的另一张图像Negative:不同人的图像。
2025-07-14 11:48:53
924
原创 基于 MTCNN+FaceNet+KNN 的人脸识别完整入门实战(附代码)
人脸检测(MTCNN):从图像中裁剪出人脸区域。人脸特征提取(FaceNet):将人脸转化为128维向量(embedding)。人脸分类(KNN):根据已知人脸构建KNN分类器,进行识别。加入分类器增加数据增强,提高鲁棒性用 GUI / Web 接口包装成实际应用📎项目完整代码你可以将完整代码保存为 face_recognition_demo.py,根据本文结构执行即可。import os# 设备选择# 模型初始化# 训练集目录# 1. 提取训练集特征及标签continue。
2025-07-14 11:19:40
977
原创 最新 Tomcat 漏洞 CVE-2025-24513复现(第一篇)
在漏洞研究和复现的过程中,构建原始组件源码环境是非常关键的一步。为了深入分析—— 一个近期披露的 Apache Tomcat 高危漏洞,我们需要手动构建 Tomcat 的源码,并在本地调试其逻辑。本文将手把手带你完成 Tomcat 源码的构建环境搭建,适用于复现漏洞、打断点调试和研究其底层实现。
2025-07-11 14:08:56
1317
原创 Tomcat组件 高危漏洞挖掘细则
Apache Tomcat 作为使用最广泛的 Java Servlet 容器之一,因部署量巨大、权限级别高而成为攻击者重点关注的目标。本文旨在给安全研究人员、渗透测试人员提供一份系统化的Tomcat 高危漏洞挖掘路线图—— 覆盖历史漏洞复盘、典型攻击面梳理、实战挖掘方法、工具链与后续研究方向。Tomcat 本身代码质量较高,但组件庞大、配置灵活,“边缘配置 + 插件 + 老旧依赖”三重因素让高危漏洞仍层出不穷。掌握本文方法论,你可以:快速复现已知漏洞,训练思维;用 CodeQL + 动态调试挖掘新链条。
2025-07-11 11:27:47
772
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人