最近看到一篇文章内容，想到自己好想忘记了XXE的一些知识点，做一个回顾

Confluence CVE-2022-26134 分析

在群里看到两个关于权限校验的漏洞，然后想起之前遇到一个jetty+Spring环境的越权案例，毕竟比起使用 Tomcat，jetty的环境在云环境上有更高的效率，各互联网中大厂都逐渐使用jetty部署应用，这里分析一下

来自Litch1大哥的《Make JDBC Attack Brilliant Again》学习记录

一个比较偏的序列化组件，看到了就学习一下

尝试一下RASP是怎么使用的

这个点有时候实际情况坑还是挺多的

又是填坑学习的一天

来自RWCTF的一个题目，学习了

关于SpringSecurity权限校验的一个洞，可以拿来当一个trick之类的吧，之前没整过SpringSecurity，自己搭建一次熟悉一下，影响了5.5.7 之前的 5.5.x5.6.4 之前的 5.6.x早期不支持的版本

继续填坑罢了

陈师傅知识星球里面看到的，刚好有空跟着学习一下，学习的本质了

自从有了Gateway的RCE之后，后续我感觉Spring Cloud 的其他组件也是挖掘漏洞的重点，这个果然又成为了下一个目标

总结一下shiro权限绕过的内容

第一次使用这个工具记录一下

Thymeleaf模板注入学习

moodle相关的一个反序列化的洞，分析一下

最近看到这个cms又爆出漏洞，抓紧分析一下

挖漏洞的时候突然想到这个点，想去测试一下，去探究一下到底在哪个版本这个东西被修复了，就无法触发读文件/反序列化了

继续学Java～～～