代码审计 - 第 105 | CN-SEC 中文网

Java 安全研究初探

前言Java 安全，通常指代的是 Java Web 安全。在刚开始学习的一段时间里，面对众多的框架和名词，比如 Spring、Weblogic、EJB、AKB，等等，总感觉狗啃泰山无从下嘴。于是就有了...

04月02日代码审计14 views评论

阅读全文

代码审计

代码审计角度之solr漏洞小结

STATEMENT 声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或...

04月02日18 views评论

阅读全文

代码审计

0x01 审计环境

铭飞MCMS是政府、教育等其他行业常用的CMS，应用广泛，但是底层的代码中仍然遗留不少的问题。这篇文章主要针对SQL注入进行审计并探讨如何快速定位SQL注入漏洞，以及其他工具的应用。铭飞MCMS，是...

03月31日19 views已关闭评论

阅读全文

代码审计

SSTI之细说jinja2的常用构造及利用思路

现在关于ssti注入的文章数不胜数，但大多数是关于各种命令语句的构造语句，且没有根据版本、过滤等具体细分，导致读者可能有一种千篇一律的感觉。所以最近详细整理了一些SSTI常用的payload、利用思路...

03月30日62 views评论

阅读全文

学习札记-断言漏洞

CWE-617: 可达的assertion断言安全漏洞断言语句assert expression;expression是boolean类型的表达式，当系统运行该断言语句时会求出该表达式的值false-...

03月29日代码审计38 views评论

阅读全文

代码审计

Mojarra JSF 反序列化到内存马

某次攻防演练中遇到了一个OA靶标，登录页面为login.jsf，当时并不了解JSF反序列化，还是大哥直接一发payload 打了下来，事后便有了这篇文章。环境搭建使用vulhub的环境，启动容器后将/...

03月27日116 views评论

阅读全文

代码审计

CommonsBeanutils及shiro中利用

前言这篇将介绍一下 CommonsBeanutils 链，以及没有 commons-collections 的Shiro反序列化利用Apache Commons BeanutilsApache Com...

03月25日27 views评论

阅读全文

Java RMI漏洞利用（1099/1090对外开放-rce）

Java rmi介绍Java RMI 指的是远程方法调用 (Remote Method Invocation)。它是一种机制，能够让在某个 Java 虚拟机上的对象调用另一个 Java 虚拟机中的对象...

03月24日代码审计454 views评论

阅读全文

代码审计

JAVA安全|字节码篇：字节码操作框架-ASM（基本使用）

本文为JAVA安全系列文章第二十六篇，学习ASM的基本使用。阅读本文前请先阅读：JAVA安全|字节码篇：字节码文件结构与解读JAVA安全|字节码篇：常见字节码指令（JVM指令）JAVA安全|字节码篇：...

03月24日149 views评论

阅读全文

代码审计

原创 | 从KCON2022议题来看fastjson新版本RCE

点击蓝字关注我们fastjson <= 1.2.80首先还是贴一点前面几篇文章已经提到的分析，作为一点对fastsjon 1.2.80的基础知识，当然，还是不懂得，可以看我有一篇fastjson...

03月24日93 views评论

阅读全文

代码审计

记一次某CMS代码审计

前言无意中浏览到某小众OA官网且可以下载到源码，随机审计一波，最后成功Getshell，大佬勿喷目录结构环境搭建WIN11 + PhpStudy(Mysql) + Redis + IDEA(Tomca...

03月24日44 views评论

阅读全文

代码审计

Typecho(17.10.30)版本XSS审计

Typecho是一款轻量级的博客程序。和wp一样受到了很多人的青睐。但比wp更加轻巧简单。在17.10.30版本中，存在一处XSS漏洞。本文让我们一起复现，并进行一起简单的代码审计吧！安装typech...

03月23日97 views评论

阅读全文

Java 安全研究初探

代码审计角度之solr漏洞小结

0x01 审计环境

SSTI之细说jinja2的常用构造及利用思路

学习札记-断言漏洞

Mojarra JSF 反序列化到内存马

CommonsBeanutils及shiro中利用

Java RMI漏洞利用（1099/1090对外开放-rce）

JAVA安全|字节码篇：字节码操作框架-ASM（基本使用）

原创 | 从KCON2022议题来看fastjson新版本RCE

记一次某CMS代码审计

Typecho(17.10.30)版本XSS审计

在线咨询

微信