01 Xunit1Executor漏洞复现 Xunit.Net 是一款 .NET平台免费开源的单元测试框架,常用于并行测试和数据驱动测试。目前支持 .Net Framework、.Net Core、....
Java实战篇-XXE漏洞利用从潜到深
目标经典渗透场景 - 登录框(授权合法渗透)初步挖掘发现某JSP路径返回包泄露了代码信息,且疑似存在XXE漏洞通过泄露的代码构造出post请求包测试,漏洞存在Poc:<?xml version=...
使用太阿(Tai-e)进行静态代码安全分析
概述 Tai-e是针对java的静态程序分析框架,支持包括指针分析、数据流分析、污点分析在内的诸多静态程序分析。由于Tai-e并非专门用来做静态代码安全分析,所以并非开箱即用,在实际安全分析中使用有许...
粉丝投稿:ofcms 1.1.2 代码审计
sql注⼊在前端新增⼀条代码⽣成列表,抓取数据包通过搜索路径system/generate定位到SystemGenerateController类⽂件在create⽅法中打个断点进⾏分析db.upda...
Spring Data REST代码审计浅析
0x00 前言 Springboot + Spring MVC大大简化了Web应用的RESTful开发,而Spring Data REST更简单。Spring Data REST是建立在Data Re...
【安全科普】Python之pickle反序列漏洞
网安教育培养网络安全人才技术交流、学习咨询0x00 Python对象序列化库 pickle简介与其他语言相同,python也有序列化/反序列化的方式python序列化主要有pickle、marshal...
代码审计-某.net程序文件写入漏洞分析
0免责声明文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。前言前段时间看到公开了一个漏洞payl...
记一次对VAuditDemo的白盒审计
0x0声明 由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人承担,Cyb3rES3c及文章作者不承担任何责任。如有侵权烦请告知,我们将立即删除相关内容并致歉。请遵...
SolarWinds Security Event Manager AMF 反序列化 RCE (CVE-2024-0692)
前言 前几天刷推看到 ZDI 发了 SolarWinds Security Event Manager AMF 反序列化 RCE 的通告, 于是准备简单分析一下 https://www.zeroday...
1day | 红帆OA系统审计
一、 概述 红帆OA代码如下: 查看登录Login.asp,如下: 文件的后端代码在ioffice.dll 中的Unilogin这个类中。 在bin文件中把全部的DLL反编译,定位到ioffice中的...
白盒变黑盒。。。——一套漏洞百出的源码
无聊的时候翻公众号看见一位老哥审了一套开源的php源码,于是,咱也下了一套并搭建了起来。本来是打算跟着那公众白盒过一遍的,谁想到就抓了几个包,漏洞嘎嘎出······下载链接:https://down....
PHPCMS代码审计分析
基本介绍PHPCMS是一款网站管理软件,该软件采用模块化开发,支持多种分类方式,使用它可方便实现个性化网站的设计、开发与维护,它支持众多的程序组合,可轻松实现网站平台迁移并可广泛满足各种规模的网站需求...
129