文章来源:朋友写的,拿来PHP挖SQL的话还是可以,最近也和他一直在整一些事情,整理内部知识库,搭建内部平台,这个后面再说。先看文章吧前言:在我看来,代码审计只需要关注两个点。一个是可控的输入,另一个...
FEOA代码审计-前台任意文件上传
前言本篇文章主要内容为,从代码层面学习分析FEOA前台文件上传漏洞。FOFA指纹:app="FE-协作平台"影响版本:<7.0漏洞验证访问路由/servlet/uploadAttachmentS...
阿里大佬又更新啦-eBPF动手实践系列三:基于原生libbpf库的eBPF编程改进方案
01欲穷千里目,更上一层楼在上一篇文章《eBPF动手实践系列二:构建基于纯C语言的eBPF项目》中,我们初步实现了脱离内核源码进行纯C语言eBPF项目的构建。libbpf库在早期和内核源码结合的比较紧...
【开发内功】STL unordered_map学习
unordered_map简介std::unordered_map 是 C++ 标准库中实现的一个关联容器,用于存储键值对。它提供了类似于字典的功能,可以按键(key)存储和检索值(value)。这个...
原型污染漏洞的简析及利用
“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”...
软件安全评估之软件漏洞基础
零 基础概念 在软件安全的语境中,漏洞是指软件中的具体缺陷或疏忽,能够被攻击者利用并执行一些恶意行为,例如泄露或修改敏感信息、干扰或销毁系统、接管计算机系统或程序权限等等。 安全漏洞(Vulnerab...
干货 | 通过实时调试,让AI编写有效的UI自动化
作者简介Thales Fu,携程高级研发经理,致力于寻找更好的方法,结合AI和工程来解决现实中的问题。引言在快速迭代的软件开发周期中,用户界面(UI)的自动化测试已成为提高效率和确保产品质量的关键。然...
某OA 0day审计分析
前言 本次审计的是一套Yii框架开发的OA系统,算是小0day吧,由于尚未公开,大部分都是厚码。 本篇文章由星盟安全团队成员@Zjacky师傅投稿,博客地址为https://zjackky.githu...
恶意PDF生成器
#################### 免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及...
『代码审计』ysoserial CB1 无依赖反序列化利用链分析
点击蓝字,关注我们日期:2024-03-11作者:ICDAT介绍:这篇文章主要是对 ysoserial CB1 的无依赖反序列化无利用链进行分析。0x00 前言我们上一篇文章分析了ysoserial中...
JAVA安全JNDI注入之dnslog数据外带
今天审计的时候遇到了log4j,简单分享一下jndi注入之dnslog数据外带啵简介log4j处理${}是采用递归方式解析,大概意思就是有几个${}表达式,lookup也就解析几个,所以可以配合dns...
Python写一键启动工具
一键快速启动常用程序:如果您经常使用一组特定的程序,可以将它们添加到配置文件中,并保存配置。这样,每次打开程序启动器时,只需加载配置即可快速启动常用的程序 代码: import os import t...