代码审计 - 第 103 | CN-SEC 中文网

代码审计

九维团队-绿队（改进）| OFCMSV1.1.2审计练习（下）

2Freemarker模板注入首先查看依赖中是否引入了freemarker，由于此系统采用的maven，所以直接到pom.xml中寻找即可：发现确实引用了freemarker模板。代码层分析关于fre...

04月26日49 views评论

阅读全文

代码审计

Go语言项目容器化导致的Server-Side MIME Sniff

answerdev/answer 是基于go语言编写的一个问答平台（类似于知乎），前几周在审计该项目时，发现该系统的图片上传功能点存在一个有趣的漏洞。该系统的图片上传功能点的工作原理大致如下: - ...

04月26日23 views评论

阅读全文

代码审计

【JAVA代码审计】从零开始的Hibernate框架SQL注入审计(下)

点击上方“公众号” 可以订阅哦！Hello，各位小伙伴大家好～这里是一名白帽的成长史～上期讲完了SSH框架的搭建：【JAVA代码审计】从零开始的Hibernate框架SQL注入审计(上)今天一起来看看...

04月25日91 views评论

阅读全文

代码审计

告别脚本小子系列丨JAVA安全(7)——反序列化利用链（中）

0x01 前言距离上一次更新JAVA安全的系列文章已经过去一段时间了，在上一篇文章中介绍了反序列化利用链基本知识，并阐述了Transform链的基本知识。Transform链并不是一条完整的利用链，只...

04月25日42 views评论

阅读全文

代码审计

开源JDBC连接池C3p0反序列化利用分析

C3P0是一个开源的JDBC连接池，它实现了数据源和JNDI绑定，支持JDBC3规范和JDBC2的标准扩展。它是异步操作的，通过帮助进程完成缓慢的JDBC操作。扩展这些操作可以有效地提升性能。c3p0...

04月24日29 views评论

阅读全文

代码审计

php168 6.0.1变量覆盖

学网安渗透扫码加我吧免费&进群 ...

04月24日23 views评论

阅读全文

代码审计

JAVA靶机和漏洞练习平台

Hello Java Sec Java漏洞平台，结合漏洞代码和安全编码，帮助研发同学理解和减少漏洞，代码仅供参考。 Vulnerability SQLi XSS RCE Deserialize SST...

04月24日120 views评论

阅读全文

代码审计

java代码审计-SpEL表达式注入

0x01 前言Spring Expression Language（简称 SpEL）是一种功能强大的表达式语言、用于在运行时查询和操作对象图；语法上类似于Unified EL，但提供了更多的特性，特别...

04月24日53 views评论

阅读全文

代码审计

java代码审计

0x01代码审计的基本概念和流程1、代码审计的定义和背景Java代码审计是指对Java应用程序代码的分析，以确定是否存在安全漏洞和风险，并提出修复建议的过程。Java应用程序的开发在近年来已经成为了一...

04月23日33 views评论

阅读全文

代码审计

从Java源码来看Native命令执行方法

概述在RASP等安全产品防护严密的现在，普通的寻找Runtime.getRuntime().exec(cmds)的调用已经成为了一件不现实的事情。同样的，在Java中盛行的反序列化漏洞中，如果将RCE...

04月23日33 views评论

阅读全文

代码审计

Botnet BotenaGo代码审计浅析（一）

先前因某原因进行研究Botnet，本文以僵尸网络BotenaGo中核心代码loader_multi.go为例，对源代码进行代码审计，梳理攻击逻辑。概述该框架源代码总共仅包含2891行代码（包括空行和注...

04月23日36 views评论

阅读全文

代码审计

巡风漏洞扫描系统源码分析

漏洞扫描模块总体架构框架目录.├── kunpeng.py├── kunpeng_c.dll├── kunpeng_c.dylib├── kunpeng_c.so├── vuldb│ ├── Conf...

04月21日36 views评论

阅读全文

九维团队-绿队（改进）| OFCMSV1.1.2审计练习（下）

Go语言项目容器化导致的Server-Side MIME Sniff

【JAVA代码审计】从零开始的Hibernate框架SQL注入审计(下)

告别脚本小子系列丨JAVA安全(7)——反序列化利用链（中）

开源JDBC连接池C3p0反序列化利用分析

php168 6.0.1变量覆盖

JAVA靶机和漏洞练习平台

java代码审计-SpEL表达式注入

java代码审计

从Java源码来看Native命令执行方法

Botnet BotenaGo代码审计浅析（一）

巡风漏洞扫描系统源码分析

在线咨询

微信