这个项目完全就是个框架，只是勉强实现了业务逻辑，基本什么安全性都没有考虑。 codeql database create databaseName --source-root=D:\apache-tomcat-9.0.104\webapps\chessWebsite\chessWebsite-mas

靶场地址：https://github.com/JoyChou93/java-sec-code CSRF CSRF 漏洞的核心是：攻击者诱导已登录目标网站的用户，在不知情的情况下发送恶意请求（利用用户的合法会话），而服务器未验证请求的合法性（缺少 CSRF 令牌校验），导致请求被成功执行。

参考文章： Java Fastjson 使用指南 分享Fastjson反序列化漏洞原理+漏洞复现+实战案例+POC收集

XML实体 XML实体(Entity)是XML中用来定义可重用内容的机制，当XML文档被解析时，这些实体引用会被替换为实际内容。实体主要有三种类型： 内部实体：在文档内部定义的实体（是否开启根元素的约束）(#PCDATA) <!DOCTYPE example [ <!ENTITY js "Jo

杂项签到 得到一个图片，kali里面 strings misc1.png //直接得到flag 损坏的压缩包 hex打开发现是png，改png后缀，图片上就有flag 谜之栅栏 strings 两个图片得到这两串字符，很明显的栅栏 ; .Lcfhwfaab2cb4af5a5820} ; .Ltso{

记录一下前半部分是能自己写出来的，后半部分是需要提示的，感觉自己归来两年仍是萌新 misc部分 知识点 base家族密文特征 Base16 (Hex) 字符集：0-9, A-F（不区分大小写）。 特征： 长度是 2 的倍数（每字节对应 2 个字符）。 无填充字符。 示例：48656C6C6F（"He

这是一款更适合菜鸡的wp 虽然我真一题都没做出来，但是看看别人的wp扩展一下思路和知识面还是很有必要的，主要也再看看有什么先进的工具。 这是我以自身的知识面对于各个题目的探索。 参考文章： https://su-team.cn/posts/e3fd1be7.html https://blog.xmc

参考文章 白盒代码审计工具——CodeQL安装与使用教程【Linux+Windows】 CodeQL

#序列化和反序列化 序列化：将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间， 对象将其当前状态写入到临时或持久性存储区。 反序列化：从存储区中读取数据，并将其还原为对象的过程，称为反序列化。 下方的特征可以作为序列化的标志参考：

HijackSessionAssignment 在 HijackSessionAuthenticationProvider 类中，ID 的生成由以下代码控制： private static long id = new Random().nextLong() & Long.MAX_VALUE; //