分享一下每一年我认为自己写的比较好的一些文章。 2026 java 中 Locale 差异带来的黑名单绕过 阿里云伏魔webshell检测引擎分析与对抗 postgresql jdbc鸡肋RCE 2025 LLM 与 SAST：自动化代码审计的未来之路？ fastjson1.2.83(开autotype)+mysql不出网利用 最新版 PHP 绕 …

这篇文章受密码保护，输入密码才能阅读

这篇文章受密码保护，输入密码才能阅读

某次看 JDBC 源码的时候发现 postgresql-42.7.8 里有一行抽象的代码： 可以看到逻辑还是很简单，就是当发现某个属性以 datatype.开头，就会直接用 Class.forName把传入的值当作类强行加载起来，默认情况下会立刻执行它 static 代码块里对应的代码，虽然在后面用 klass.asSubclass(org.pos…

前言 代表复旦白泽去参与了清华和某涉密单位联办的信安青训营，去清华玩儿了一周，最后一天有个结营赛，最后也是把 WEB 题 ak 了，因为当时是去清华机房做的，不能用自己的电脑，也不能用 LLM ，上不了谷歌，本地的环境连 Burpsuite 也没有，发请求只能用 curl，所以本来不是很难的题大家做的也很折磨，这里简单分享一下我的 WP 题目地址 …

前言 又是一年元旦至，一般来说这个时间是该写年终总结了，我朋友圈里很多师傅也纷纷挂出了自己的年终总结。只不过从我往年的年终总结时间可以看出来，我写年终总结的时间是一年比一年晚，22年是一月底写的，23年是二月底写的，24年甚至是四月份写的，所以今年写年终总结的时间连我自己也不知道，并且我比较有逆反心理，大家都在这个时候写年终总结我偏不写，来写点我对…

前言 前端的 JS 代码混淆一直以来是 web 安全里一个让人头大的问题，为了解决代码混淆给网络安全带来的挑战，以及当前缺乏针对性评估标准的问题，本文的作者提出了一个名为 JsDeObsBench 的基准测试框架。该框架包含从简单变量重命名到复杂结构变换等多种混淆技术，旨在系统评估 GPT-4o、DeepSeek-Coder 等前沿 LLM 在 J…

前言 众所周知，高版本的fastjson的autotype是默认关闭的，这意味着fastjson默认走白名单，目前而言没有公开利用的poc，但如果开了autotype的情况下，fastjson走的是黑名单（https://github.com/LeadroyaL/fastjson-blacklist），只要找一些冷门的没有进黑名单的类就能绕过黑名单…

前言 上周RCTF UltimateFreeloader这题是难得的业务安全类型的题目，相比于常见的以RCE为目标的攻防场景，这道题目是以"薅羊毛"为目标的 SRC 场景，非常的有趣，并且让我想起了很多之前学过的操作系统有关的知识，遂写此文以作总结。 并发与并行 并发（Concurrency）：看起来“同时”做多个任务，但其实 CPU 在不同任务之…

前言 上周的 XCTF Final 里出了一道 PHP 题，考察绕过 PHP 最新版的 open_basedir 和 disable_functions，还是非常有难度的，队里的师傅在现场做出来了，实在是太厉害了，贴一下他们这个抽象的wp：https://mp.weixin.qq.com/s/fYKBAYmLO11BWySRWqMi8Q 环境搭建 …