Rhino 反序列化Rhino库是用来在Java中执行Js代码的一个库 pom： 12345<dependency> <groupId>rhino</groupId>

Ghost Bits Bypass WAF最近太火了，又是浅蓝大神，怎么会这么强 原文：Black Hat Asia 2026 《Cast Attack: A New Threat Posed by Ghost Bits in Java》

用trae+jadx mcp+ida mcp连跑三道android的题，尽管我丝毫不懂android。什么都不能描述我的震惊。 先分析一遍jadx mcp，刚开始看到是来自https://xz.aliyun.com/news/91280 示

好久没写链子了，练手 hibernate反序列化Hibernate 是一个广泛使用的开源对象关系映射（ORM）框架，旨在简化 Java 应用程序与关系型数据库之间的数据交互。它通过将 Java 对象与数据库表关联起来，实现了对象的持久化，开

文章首发于：https://xz.aliyun.com/news/19183 之前手写了一个IAST，现在来看一个商业方案：火线公司 洞态IAST 洞态IAST分析IAST简介根据官方文档的描述，IAST 相当于 DAST 和 SAST 的

和RASP类似，IAST利用 instrumentation 技术（比如在 Java 中用 agent）收集运行时的信息。不过RASP主要部署在应用运行环境中，实时防御、主动阻断攻击。IAST主要用于发现漏洞，而非防护。不过根据我的理解，到

UTF-8 Overlong Encodeing 绕过WAFUnicode 到 UTF-8引用一段来自dicksuck的回答 Unicode 字符到 UTF-8 编码的转换遵循一套清晰但精妙的规则。其核心思想是：根据 Unicode 码点（

在触发JNDI注入的时候，我们用到的一个JNDI Client如下，用的LDAP协议： 12345678public class JDNIRMIClient { public static void main(String[

Spring AOP链springAOP简介Spring AOP（Aspect-Oriented Programming，面向切面编程）是 Spring 框架中的一部分，用于在不修改源代码的前提下，将横切关注点（cross-cutting

不出意外，groovy利用还是脱不开AST注解、GroovyShell、GroovyClassLoader这几个东西 fastjson groovy链来自2022KCON 浅蓝师傅的议题 利用条件： 1.2.76 <= f