原文作者:是juju呀原文地址:https://xz.aliyun.com/t/10932文末送书福利前言记录一下最近碰到的几处cms路径穿越的问题(均在后台),均已提交CNVD。正文1.某cms的任...
如何使用njsscan识别Node.JS应用中的不安全代码
关于njsscan njsscan是一款功能强大的静态应用程序测试(SAST)工具,可以帮助广大研究人员找出Node.JS应用程序中不安全的代码模式。该工具使用了libsast的...
记一次对wuzhicms的审计
文章首发于奇安信社区:https://forum.butian.net/share/1126前言在网上漫游发现的一个cms cnvd也是有提交的也是初次审计这种官网:https://www.wuzhi...
分享 | 记一次渗透实战-代码审计到getshell
文章来源:奇安信攻防社区地址:https://forum.butian.net/share/1206作者:dota_st0x0前言接到任务,需要对一些违法网站做渗透测试......0x1信息收集根据提...
原创干货 | 利用白盒与黑盒结合的方式审计某CMS
0x01在群里看到Ashe表哥放了几手0day,心里那个羡慕啊于是打算开始学代码审计逛CNVD的时候发现最近SDCMS的漏洞比较多,于是下手挖掘,找到了两个漏洞的位置,因为此源码一些关键的位置都混淆了...
代码审计安全实践
第一次写文章,希望大牛们轻喷一、代码审计安全代码编写安全: 程序的两大根本:变量与函数漏洞形成的条件:可以控制的变量“一切输入都是有害的 ”变量到达有利用价值的函数(危险函数)“一切进入函数的变量是有...
Cobra - 白盒代码安全扫描与分析系统
项目地址:https://github.com/wufeifei/cobra项目介绍眼镜蛇(Cobra)是一款定位于静态代码安全分析的工具,目标是为了找出源代码中存在的安全隐患或者漏洞。目标用户1. ...
【渗透实战系列】24|-针对CMS的SQL注入漏洞的代码审计思路和方法
0x00 SQL注入漏洞:简单介绍一下SQL语句:通俗来理解就是开发者盲目相信用户,没有严格检查用户输入,导致用户可以输入恶意参数进入程序逻辑,最终拼接恶意参数改变原本的SQL语句逻辑,造成SQL注入...
ThinkPHP 6.x反序列化POP链(二)
环境准备安装ThinkPHP 6.0composer create-project topthink/think=6.0.x-dev v6.0修改application/index/controlle...
纵横杯-大家一起来审代码出题笔记
前言在夏日炎炎的八月(南方),说忙也不是很忙(日常划水),就接了几个出题任务。出这个题目的初衷是当时有一个项目要做代码审计,就来了灵感,打算出一下代码审计的题目。没参加比赛,赛后看了下解题情况情况,是...
小白学源码审计-1
北京的冬天太冷,似诗的南方阳光正高照着大地,北京的冬天太冷我已无法承受,我选择在南方过冬。小白紧了紧衣服,赶脚南方比北方还冷,直想往被窝里一缩,美美地睡上一觉。小白最近看到关...
炼石计划之50套JavaWeb代码审计(三):某商城系统的Log4j2shell的探索之路
在这面具之下,是你坚强的信念闪石星曜本套系统代码审计知识点:最新披露Log4j2的RCE漏洞,Fastjson反序列化漏洞,SQL注入之order by注入漏洞,任意文件上传漏洞等。炼石计划之50套J...
125