2024总结
目录
- 漏洞挖掘:
去年开始个人的主要赛道由java换成了net,虽然工作上离不开java研究但是其余时间几乎都给了.net,收获的CVE
- CVE-2024-1800
- CVE-2024-1856
- CVE-2024-1801
- CVE-2024-23479
- CVE-2024-23477
- CVE-2024-23476
- 未公开的一个SerializationBinder绕过
java方面:看了一手国外ZOHO ManageEngine的产品线的两个系统,没有产出。然后就是挖了一些国内系统的0day,没什么好说的:)
- 安全研究:
- .NET集中在WEB漏洞方向,基本在Json.NET,XML,Binary反序列化以及.NET Remoting等等(to do list: ATTACK WCF)
.Net路上SinSinology和chudyPB是我的特别关注,两位大佬都是ZDI的常客,今年还收获了SinSinology的关注。
- java方面也就是跟一跟比较有意思的时效漏洞了,25年找个课题研究下。
在安全圈走下坡路的这段时间,得无时无刻告诫自己无论工作上还是个人学习上,都还要保持最开始的"冲"劲和执行力才能越走越远。
Note
这个领域待的久了有点想学习点新鲜知识比如AI、甲方安全建设之类的:(