首先提前祝大家新年快乐,祝各位师傅身体健康,事业顺利。前段时间在先知社区逛的时候看到Rebuild这个项目的代码审计,故来自己审一下。源码如下:https://gitee.com/getrebuild...
从某教学视频应用云平台入门.net审计
声明:由于传播、利用本公众号湘安无事所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。如有侵...
Fastjson反序列化漏洞原理与漏洞复现
漏洞原理1.啥是json?json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。举个简单的例子如下:{ "name":"Bos...
深入学习Java代码审计技巧—详细剖析某erp漏洞
简介对于Java代码审计,主要的审计步骤如下:确定项目技术框架、项目结构环境搭建配置文件的分析:如pom.xml、web.xml等,特别是pom.xml,可以从组件中寻找漏洞Filter分析:Filt...
jsweb-判断js+js代码审计
什么是JS渗透测试?在Javascript中也存在变量和函数,当存在可控变量及函数调用即可产生漏洞JS开发的WEB应用和PHP,JAVA,NET等区别在于即便没有源代码,也可以通过浏览器的查看源代码获...
JAVA代码审计-任意文件上传漏洞(配套视频)
JAVA代码审计-任意文件上传漏洞欢迎参加我们的Java代码审计课程!本课程旨在培养学员深入了解和实践Java应用程序安全性的技能,通过系统学习和实际案例分析,使学员能够识别并纠正潜在的安全漏洞。前期...
JAVA代码审计-任意文件下载漏洞(配套视频)
JAVA代码审计-任意文件下载漏洞欢迎参加我们的Java代码审计课程!本课程旨在培养学员深入了解和实践Java应用程序安全性的技能,通过系统学习和实际案例分析,使学员能够识别并纠正潜在的安全漏洞。前期...
代码审计-CVE-2023-6654-PHPEMS-加密-解密分析
本文来自团队小伙伴:c3ting 博客地址 https://c3ting.com 正文: 路由: 入口方法: 鉴权分析: 由此可以得出 鉴权是由session类负责获取参数后,由各个类的魔术方法负责:...
代码安全审计经验集(下)
对HTTP加密请求参数的测试对于HTTP请求体加密,如果直接使用明文的请求参数,是无法进行正常的安全测试的。但通常还是有办法分析出加解密的策略,如果能把加解密算法还原,就可以先将安全测试的payloa...
某OA的代码审计
某次渗透中,在短期内没有发现突破口,随后决定把重心放在目标的OA系统上,因为前期经过信息搜集,已经知道了该OA的框架,而且此系统是开源的。即使尝试了之前的Nday,发现有价值的漏洞都修复了,但是只要能...
.NET ORM 注入 审计-FreeSql中直接使用 SQL 片段的问题
.NET ORM 注入 审计-FreeSql中直接使用 SQL 片段的问题采用项目 ASP.NET Core Web Application 模板创建项目的demo搞定。环境OK了。看看注入的地方。O...
百家CMS v4.1.4代码审计
环境搭建源码下载:https://gitee.com/openbaijia/baijiacms.git放入PHPstudy,建一个baijiacms的数据库,访问进行安装,设置管理员用户和密码为adm...
125