分享一下每一年我认为自己写的比较好的一些文章。 2026 XCTF-SUCTF2026 JDBC-master&&wms java 中 Locale 差异带来的黑名单绕过 阿里云伏魔webshell检测引擎分析与对抗 postgresql jdbc鸡肋RCE 2025 LLM 与 SAST：自动化代码审计的未来之路？ fastjso…

今年又一次参与了 suctf 的出题，和昨年最大的变化就是今年的 wp 怎么全是 ai 写的了/(ㄒoㄒ)/~~ SU_wms jeewms存在非常老版本的mysql版本 后台存在配置jdbc的模块 该模块对传入的jdbc参数没有任何过滤，可以通过配置恶意mysql jdbc参数实现命令执行 依赖中存在fastjson，可以利用mysql jdbc…

前言 命途多舛的 dataease h2 jdbc 模块自大小写/unicode转换/反斜杠/json 属性覆盖后又迎来了一种全新的绕过方式 Locale 的作用 Java 里的 Locale 用来规定“语言 + 地区对应的文化规则”，-Duser.language 和 -Duser.country 设置的就是 JVM 的默认 Locale，它会直…

前言 最近手上刚好有一个需要做两个方法间可达性分析的需求，且目标是多语言的，因此 tai-e 之类单语言的工具就行不通了。当时试了试常见的多语言分析分析工具，比如 codeql、蚂蚁新出的 YASA 之类的，codeql每种语言的 api 不太一样，兼容性很低，毕竟 codeql 虽然自称是多语言的分析工具，但其实还是对每种语言专门做了一个 AST…

这篇文章受密码保护，输入密码才能阅读

某次看 JDBC 源码的时候发现 postgresql-42.7.8 里有一行抽象的代码： 可以看到逻辑还是很简单，就是当发现某个属性以 datatype.开头，就会直接用 Class.forName把传入的值当作类强行加载起来，默认情况下会立刻执行它 static 代码块里对应的代码，虽然在后面用 klass.asSubclass(org.pos…

前言 代表复旦白泽去参与了清华和某涉密单位联办的信安青训营，去清华玩儿了一周，最后一天有个结营赛，最后也是把 WEB 题 ak 了，因为当时是去清华机房做的，不能用自己的电脑，也不能用 LLM ，上不了谷歌，本地的环境连 Burpsuite 也没有，发请求只能用 curl，所以本来不是很难的题大家做的也很折磨，这里简单分享一下我的 WP 题目地址 …

前言 又是一年元旦至，一般来说这个时间是该写年终总结了，我朋友圈里很多师傅也纷纷挂出了自己的年终总结。只不过从我往年的年终总结时间可以看出来，我写年终总结的时间是一年比一年晚，22年是一月底写的，23年是二月底写的，24年甚至是四月份写的，所以今年写年终总结的时间连我自己也不知道，并且我比较有逆反心理，大家都在这个时候写年终总结我偏不写，来写点我对…

前言 前端的 JS 代码混淆一直以来是 web 安全里一个让人头大的问题，为了解决代码混淆给网络安全带来的挑战，以及当前缺乏针对性评估标准的问题，本文的作者提出了一个名为 JsDeObsBench 的基准测试框架。该框架包含从简单变量重命名到复杂结构变换等多种混淆技术，旨在系统评估 GPT-4o、DeepSeek-Coder 等前沿 LLM 在 J…

前言 众所周知，高版本的fastjson的autotype是默认关闭的，这意味着fastjson默认走白名单，目前而言没有公开利用的poc，但如果开了autotype的情况下，fastjson走的是黑名单（https://github.com/LeadroyaL/fastjson-blacklist），只要找一些冷门的没有进黑名单的类就能绕过黑名单…