扫一扫关注公众号,长期致力于安全研究前言:本文通过简易的代码,更通俗的理解C++虚函数的攻击0x01 内存结构首先可以看一下C++虚函数的结构图,劫持的方法可以通过修改虚表指针或虚函数指针来...
16 条 yyds 的代码规范
点击下方“IT牧场”,选择“设为星标”如何更规范化编写Java 代码Many of the happiest people are those who own the least. But are w...
关于blackhat2021披露的fastjson1.2.68链
熟悉fastjson1.2.68反序列化的请直接看三。一、fastjson 1.2.68反序列化历史fastjson 1.2.68可以利用java.lang.AutoCloseable绕过checkA...
代码安全:从响应式安全转向主动式安全
漏洞界二八定律,过去20多年来的绝大多数安全事件都是头部那10个软件漏洞造成的。然而,很多企业仍然选择事后补救,得过且过地承受安全事件造成的人员和业务后果。不过,当前一项新的研究为我们指明了由人主导的...
代码审计 | Zoho 从未授权访问到远程 RCE
本文作者:Z1NG(信安之路核心成员,擅长代码审计、红队技术)ZOHO ManageEngine ServiceDesk Plus(SDP)是美国卓豪(ZOHO)公司的一套基于 ITIL 架构的 IT...
Fastjson反序列化漏洞史(上)
Fastjson没有cve编号,不太好查找时间线,一开始也不知道咋写,不过还是慢慢写出点东西,幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以...
CMS审计:任意文件删除->RCE
目录前言漏洞挖掘思路分享全局搜索,定位关键字判断前台洞 or 后台洞漏洞利用了解路由,构造payload验证漏洞,尝试getshell小结前言最近投了一些白盒审计的岗位,于是想着多看看代码,训练一下审...
【GoCN酷Go推荐】crypto官方加解密库
1. 为什么用官方crypto,不用第三方库因为这个加解密库实际很简单,并不需要太多的配置以及学习;且特别是比较敏感的数据,如果代码圈发现有一种算法的加密方式是有漏洞的,第三方库真不一定会及时解决。2...
Windows驱动编程之NetFilterSDK
本文为看雪论坛优秀文章看雪论坛作者ID:一半人生Nfsdk源码网友口碑一直不错,梳理笔记分享。NetFilter SDK团队维护了多平台源码,本篇只介绍Windows平台。官网:https://net...
Python安全开发之第三方库requests讲解【C10课】
1课程目标掌握安装第三方模块的方法掌握requests库的常用方法与返回值掌握requests...
PHP编码安全:弱数据类型安全
微信公众号:计算机与网络安全ID:Computer-network由于PHP的弱数据类型特性,造就了PHP的易学和易用。PHP在使用双等号(==)判断的时候,不会严格检验传入的变量类型,同时在执行过程...
Python安全开发之基础知识综合练习【C09课】
课程目标完成基础知识练习print+input+if+while+判断符号>>>猜数字游戏random+print+while+format+判断符号>>>彩票游戏...
306