代码审计 - 第 10 | CN-SEC 中文网

代码审计

java手把手审计第三天之猛猛注入室友毕业设计靶场

前言上次我们的手把手java审计第二天文章分析了路由，这次我们直接来猛猛的审计注入，刚好这是以前室友的毕业设计，直接把他打穿让室友懵逼。 GitHub源码链接 https://gitee.com/z...

02月24日8 views评论

阅读全文

会Java代码审计不就把别人卷死了。。。

1. 请解释Java反序列化漏洞的根本原因，并说明为何攻击者可以通过反序列化执行任意代码？答案 Java反序列化的核心问题在于其默认机制允许通过ObjectInputStream的readObjec...

02月23日代码审计35 views评论

阅读全文

代码审计

java 静态方法 load+写文件组合拳利用

前言前几天看到 nacos 漏洞的时候发现本质是 hessian 反序列化，而 hessian 反序列化和其他反序列化个人认为最特殊的一点即是一个类根本不需要序列化接口，这样利用面大大增加，而其原生的...

02月22日10 views评论

阅读全文

代码审计

JAVA安全 CC链详细分析

JAVA安全 CC链详细分析在学习CC链之前，这里先带大家从最基本的代码分析，很多人觉得难的原因，就是因为直接给你上一大坨不懂的代码，肯定难啊。逐块分析就会很简单。首先来看下方的代码。这是p牛...

02月22日6 views评论

阅读全文

代码审计

代码快速审计详解

根据敏感函数来逆向追踪参数的传递过程,是目前使用得最多的种方式，因为大多数漏洞是由于函数的使用不当造成的,另外非函数使用不当的漏洞，如SQL注入，也有一些特征，比如Select. Insert等...

02月22日8 views评论

阅读全文

代码审计

php源码分析案例 | 文件上传绕过

0x00 前言分析两段php的文件上传源码，尝试进行后缀黑/白名单的上传绕过。0x01 uploads-labs 21这段源码来自uploads-labs靶场第21关。源码片段：分析：首先将上传的文件...

02月20日4 views评论

阅读全文

代码审计

Spring Cloud Function SpEL表达式注入漏洞分析

声明以下内容，均为文章作者原创，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，长白山攻防实验室以及文章作者不承担任何责任。长白山攻防实验室拥有该文章的修改和解释...

02月20日6 views评论

阅读全文

代码审计

熊海CMS代码审记(新手入门)

“ 本文针对于熊海CMS进行一套代码审计分析，白盒审计代码：iseaCMS_1.0 使用工具：seay自动审计工具+vscode ”01—代码目录admin --管理后台文件夹css --存放c...

02月20日12 views评论

阅读全文

代码审计

Ysoserial CC1利用链构造分析

YsoserialCC1利用链构造分析一.前言：CC链即Apache Commons Collections是Apache软件基金会的项目,Commons-Collections 试图通过提供新的接口...

02月20日4 views评论

阅读全文

代码审计

入坑Java安全之JNDI注入

声明：本公众号文章来自作者日常学习笔记或授权后的网络转载，切勿利用文章内的相关技术从事任何非法活动，因此产生的一切后果与文章作者和本公众号无关！0x00 前言最近在学习SpringMVC，刚好学到了J...

02月20日9 views评论

阅读全文

代码审计

从SpringInspector源码视角深入浅出静态代码分析技术

假设本文的读者已经有相关SpringBoot、字节码开发经验。 01分析原理市面上目前的主流白盒检测引擎估计就分为两者（之前是由正则和AST语法分析占据的），一种是基于字节码的堆栈模拟检...

02月20日17 views评论

阅读全文

代码审计

JAVA代审-publiccms_V4_2024_6

前言本篇文章首发在先知社区，作者C@ig0 (本人) 先知社区名称：caigo 转载原文链接为：https://xz.aliyun.com/news/16780 文章目录项目介绍环境搭建漏洞挖掘...

02月19日18 views评论

阅读全文

java手把手审计第三天之猛猛注入室友毕业设计靶场

会Java代码审计不就把别人卷死了。。。

java 静态方法 load+写文件组合拳利用

JAVA安全 CC链详细分析

代码快速审计详解

php源码分析案例 | 文件上传绕过

Spring Cloud Function SpEL表达式注入漏洞分析

熊海CMS代码审记(新手入门)

Ysoserial CC1利用链构造分析

入坑Java安全之JNDI注入

从SpringInspector源码视角深入浅出静态代码分析技术

JAVA代审-publiccms_V4_2024_6

在线咨询

微信