🛡️ Java SSRF 源码审计全解 🚩 什么是 SSRF？ SSRF（Server-Side Request Forgery，服务器端请求伪造），攻击者通过控制服务端发送请求目标，从而访问本应服务器内部可见的资源。 📌 审计原则...

🚨Android BroadcastReceiver 漏洞排查全流程指南 🔐 面向 Android 安全新手，从 0 到 1 手把手教你排查 BroadcastReceiver 的安全风险！ ✅ 什么是 BroadcastReceiver？ BroadcastReceiver（广...

“本文工具仅供个人学习和研究使用，使用者应对其使用本工具的结果负全部责任。不要问任何代理，不提供🪜，都给问风控了😒。” 01 — WIFI代理 1. 适用于无通信安全防护的IOS应用，服务器指定Bu...

一、GUI工具教程1、配置 Sqlmap.py 文件路径选择目前的Sqlmap.py文件后，按需求选择配置，点击查看当前命令就会输出Sqlmap执行的完整命令需要安装Python、会一点基本Sqlmap知识【比如Sqlmapmap...

🧠 Spring MVC 是怎么悄咪咪地调用了 FastJSON 来反序列化的？ 🌟 一句话总结： 你只写了一句 @RequestBody Object data，Spring 就自动帮你用 FastJSON 把请求体中的 JSON 字符串，转成了一个 ...

🚀 SpEL 安全加固宝典：变量注入防护全场景实战解析 摘要： SpEL（Spring Expression Language）灵活强大，却易遭“注入”风险； 把用户输入当作“变量”传入，断绝表达式本体被篡改； 四大场景...

☣️ FastJSON × JdbcRowSetImpl 反序列化利用分析 📌 一、类简介：JdbcRowSetImpl 全类名：com.sun.rowset.JdbcRowSetImpl JDK 自带类（Java 8–21+ 均内置） 原本用途：通过 JNDI 查询并连接...

🔍 剖析FastJSON 反序列化是如何利用的反射机制 📌 一、反序列化是什么？ 反序列化（Deserialization）：将字符串形式的数据（如 JSON）转成 Java 对象的过程。 举个例子，有一个 Java 类：  p...

🎯 MyBatis执行SQL的深入分析（含完整调用链） ✅ MyBatis注入链路结构  [Controller] → [Service] → [DAO] → [Mapper(XML/注解)] → [SQL执行] 📌 注入可能发生在：Ma...

🧩 ContentProvider 数据泄露全面解析：小白也能看懂的安全检测指南 随着 Android 应用越来越复杂，ContentProvider 成为了应用间共享数据的重要桥梁。但如果配置不当，极易成为攻击入口，导致...