几经周折 内容繁多。如果不想看,请翻到最后总结。 天荒夜谈来注入,勿以成败论英雄 寻找的方法方法很简单,seay源码审计系统一把梭(我还在使用上古审计工具,哪位大佬有现代化审计工具求介绍)。 发现在应...
05月10日44 views评论sql
方法
YZM几经周折的积累(鸡肋)审计过程
05月10日44 views评论sql
方法
05月10日44 views评论sql
方法
记一次跨站脚本攻击审计过程
前言 前面的文章分享了一些Java中跨站脚本攻击的审计思路。结合github上某实际的代码环境进行相关的实战,以下记录相关的审计过程。 相关过程 首先拿...
05月10日79 views评论request
审计
海洋 CMS 代码审计过程分析
最近在学代码审计,但总是学了忘,所以把思路步骤全写下来,便于后期整理。这次审计的是 seacmsV10.1,但是审完返现 V11 也有同样的漏洞。先放 payload:/comment/api/ind...
05月06日73 views评论cnvd
代码
安全研究者的自我修养(续)
接上篇继续聊安全研究者的自我修养,上篇重点讲技术修炼,本篇聊聊行业现象、谈谈沉淀、情怀等等。11、工具与方法论沉淀虽说代码审计是项必备技能,但终究是项体力活。有些漏洞(比如逻辑漏洞)可能就需要人工审计...
04月25日43 views评论审计
漏洞
初识代码审计
猫爪子的诱惑〜关注我呀〜代码审计(Code Audit)是指安全代码评估者尽可能的通过阅读应用系统的源代码来发现潜在的安全漏洞及隐患的技术手段。代码审计的技术手段,可以弥补黑盒渗透测试的未能完全覆盖的...
04月25日277 views评论php
代码
手把手教你配置一个 PHP 审计调试环境(保姆向)
前言 上次写了篇 macOS 下优雅地配置 PHP 代码审计环境 里面主要讲解了使用 MAMP PRO 配合 PHPStorm 来进行代码审计,但是这个环境有点臃肿了,而且并不是很多人都用 macOS...
04月24日121 views评论linux
php
锐捷RG-UAC统一上网行为管理审计系统账号密码泄露漏洞 CNVD-2021-14536
PbootCMS审计复现
前言:看了这么久的代码审计,总算对框架有点感觉 了,赶快拿一个练练手。 0x00 准备工作 0x01 浏览目录 拿到一个cms第一件事别急着直接index就开始看了,先对这个cms的总体框架有个了解,...
04月24日75 views评论cms
index
审计 Linux 系统的操作行为的 5 种方案对比
很多时候我们为了安全审计或者故障跟踪排错,可能会记录分析主机系统的操作行为。比如在系统中新增了一个用户,修改了一个文件名,或者执行了一些命令等等,理论上记录的越详细, 越有利于审计和排错的目的。不过过...
04月23日40 views评论linux
系统
发卡网审计
发卡网代码审计 这是前段时间写的,今天发一下记录一下吧,怕以后找不到了 2020-3-10 0x00 前言 前端时间看moonsec的直播代码审计,今天下载来复现一波。下载地址:https://www...
04月23日169 views评论代码
审计
[代码审计] LvyeCms 任意文件写入Getshell漏洞分析
接着上一篇文章中分析了一个CSRF漏洞,本篇文章依然是这个cms,分析一个任意文件写入Getshell漏洞,文末附上CMS源码,喜欢的点个转发、再看一、漏洞简介:在后台模板新建功能处,并没有对写入的内...
04月22日260 views评论文件
漏洞
对某高仿转转交易平台的一次渗透
本文来自网友投稿,ID:Whirlwind 单挑无聊的一天,一位网友好兄弟,发给了我一套源码,刚看到很懵逼,不过打开之后全都明白了,一个转转的钓鱼源码。说一下这个源码的诈骗逻辑:网站前端通过抓取转转交...
04月10日69 views评论源码
网站
15