hzhsec

摘要： Fastjson 1.2.24版本因默认开启`autotype`选项，允许攻击者通过精心构造的JSON指定反序列化类，触发JNDI注入实现远程代码执行。 阅读全文

摘要： 文件上传：解析、存储与安全最佳实践 概览 (Overview) 本文为 文件上传漏洞 的复现与检测笔记，包含前后端验证类型、常见绕过技巧、以及一些攻击构造示例，便于实战练习（如 Docker labs）。内容适用于 PHP 原生上传场景，但多数知识点可迁移到其它语言/框架。 知识点摘要：文件上传漏洞 阅读全文

摘要： GlobalProxy Master 一、 背景 作为安全从业者，在进行合规授权的漏洞扫描、信息搜集或自动化任务时，最头疼的莫过于：“IP 就被封了”,现在的商业代理池虽然好,但是架不住贵啊,我是学生,买不起。 还有就是平时用一下就没必要买商业版代理池了,当然有钱当我没说 常见的场景是：工具运行半小 阅读全文

摘要： 漏洞描述 该漏洞存在于 React Server Components 中，允许攻击者在未认证的情况下，通过精心构造的请求执行远程代码。其核心问题在于对用户输入的处理不当,导致攻击者可以操纵原型链、调用危险模块（如 vm、child_process 等）或通过文件操作实现间接代码执行 漏洞利用的核心 阅读全文

摘要： CVE-2025-49844 漏洞简介 Redis 是一个开源的使用 ANSI C 语言编写、支持网络、可基于内存亦可持久化的日志型 Key-Value 数据库，并提供多种语言的 API。 该漏洞（CVE-2025-49844，代号 RediShell）存在于 Redis 的 Lua 脚本引擎垃圾回 阅读全文

摘要： 漏洞概述 漏洞摘要： 7.12 及以下版本的 WinRAR 存在目录穿越漏洞（CVE-2025-8088）。在攻击者已知“用户文件夹名”或其他环境信息的前提下，可构造恶意 RAR 文件并诱导用户解压，从而将恶意文件释放到任意路径（例如开机启动目录）。若满足权限条件，攻击者甚至可借此获取持久化执行或完 阅读全文

摘要： 背景与痛点 在国内使用 Docker，网络问题一直是初学docker小白的恶梦： docker pull 龟速：配置了几个国内加速器，但不知道哪个快，或者几天后突然全部失效。 docker search 报错：搜索镜像时直接提示超时，或者需要拉取 gcr.io 等被墙仓库的镜像。 配置繁琐：每次换源 阅读全文