零、写在前面的话0.1 前言在我刚接触Java安全的时候,我写过一篇零基础入门级别的文章:【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇) https://mp.weixin.qq....
PHP 审计中的一些小操作
前言最近在学习中学到了不少审计时的小技巧,都比较简单,但有一些在代码中比较容易出现的错误,这里做了一下总结分享,有错误希望师傅们斧正,一起交流学习。for 循环中的 count这个小技巧是从这里看到的...
【表哥有话说 第101期】Java安全-JNDI注⼊
百期后的第一期内容来喽又是崭新的知识本期内容较为简洁需要大家仔细研究快快拿好小本本认真记起来吧~Java安全-JNDI注⼊JNDI(Java Naming and Directory Interfac...
Java审计之CMS中的那些反序列化漏洞
过年那段时间比较无聊,找了一套源码审计了一下,发现几个有意思的点拿出来给分享一下。XStream 反序列化漏洞下载源码下来发现并不是源代码,而是一个的文件夹,里面都已经是编译过的一个个 cl...
某开源CMS的一次批量证书挖掘分享
一 前言 今天给师傅们分享一个开源系统批量挖掘CNVD证书的实战内容,由于开源系统的源代码开放,所以相对于闭源系统来说更安全,对于安全人员来说,开放源代码更有利于我们去进行安全测试,也就更容易去找到系...
脚本小子的成长日记0x002-JAVA反序列化
脚本小子的成长日记0x002-JAVA反序列化反正我是挺头疼本来计划是从0x001过后的一周就把这篇文章更新出来的,但是遇到了亿点点小小的情绪问题于是就一直咕咕咕到现在 我谢罪0.0 前置知...
Fastcms 代码审计(第一篇)
fastcms是基于SpringBoot前后端分离技术,且具有插件化架构的CMS系统,系统具有高扩展性,易维护性,可以 快速搭建网站,微信小程序,是开发微信营销插件的基石0x01 任意zip、jar文...
KKCMS 1.371 代码审计
大体来说这个 CMS 还是比较安全的,but 部分功能写法完全不统一。写 sql 查询的时候有些用了 PDO,有些直接带入查询预处理分析除了...
[代码审计]某cms前台Referer-sql注入
前言代码审计---证书申请系类前言mvc框架的,白盒和黑盒测试。构成分析存在index.php文件中,前面包含了3个php文件,并且定义了四个常量。我们重点关注 ./skymvc/skymvc.php...
java代码审计必备技能之——Spring框架
1. Spring概述1.1 什么是SpringSpring作为一款轻量级开源框架,以控制反转(IOC)和面向切面编程(AOP)为内核.解决了开发人员在工作过程中遇到的许多常见问题...
九维团队-绿队(改进)| Java Spring编码安全系列之日志记录和监控不足
·前言·Java Spring是目前企业开发中使用较多的一种java开发框架,因此,基于该框架的安全内容尤为重要。Secure Code Warrior编码实验室的Java Spring涉及到的安全问...
【代码审计系列】第一篇:华夏ERP(附java代码审计方法论总结)
文章正文约8100字,目录如下:一、环境搭建二、具体漏洞审计(1)swagger-api文档信息泄露(2)账号密码泄露漏洞(3)暴力破解漏洞(4)csrf漏洞(5)sql注入(举一反三+yakit)(...
120