代码审计 - 第 109 | CN-SEC 中文网

代码审计

对Java第三方库使用、更新、风险的实证评估

原文标题：An empirical study of usages, updates and risks of third-party libraries in java projects原文作者：Y...

03月07日22 views评论

阅读全文

代码审计

由点到面-从事件型漏洞到通用型漏洞的发掘

前言本文主要记录我从事件型漏洞到通用型漏洞的发掘过程，由于不可描述的原因，所以本次挖掘分享点到为止，将不涉及后台和服务器的渗透，主要分享挖掘思路。打码比较厉害，请多多见谅。首个漏洞挖掘过程注册一个测试...

03月06日45 views评论

阅读全文

代码审计

Fastjson：我一路向北，离开有你的季节（下）

点击上方“蓝字”，关注更多精彩 bypass waf 近几年waf的是反序列化漏洞头号大敌，面对waf的封禁，我们又该何去何从勒？利用Fastjson默认会去除键、值外的空格、b、n、r、f等特性，...

03月06日30 views评论

阅读全文

代码审计

Java反序列化之CC1链分析 | 技术精选0142

本文约4000字，阅读约需9分钟。可能之前看Java CC1链的文章时，那复杂的玩法给我留下了阴影，这篇文章自己迟迟没有动笔——毕竟有TransformedMap玩法，还有LazyMap玩法，最终还得...

03月06日18 views评论

阅读全文

代码审计

JAVA反射学习

STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此...

03月06日16 views评论

阅读全文

代码审计

福利大放送-开发专题

免责声明写在前面：内容仅用于学习交流使用；由于传播、利用本公众号钟毓安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号钟毓安全及作者不为此承担任何责任，一旦造成后果请使用...

03月06日17 views评论

阅读全文

代码审计

Java反序列化回显学习（一）

前言在测试某反序列化漏洞，可以通过URLDNS链确定漏洞是否存在但在利用时遇到了困难，相关利用链可以执行系统命令却无法得到回显。因此需要在此基础修改利用链达到命令回显得目的，下边记录的即是此次修改的过...

03月06日54 views评论

阅读全文

代码审计

PHP实现代码执行的最短Payload

<?='$_GET[1]'?> http://localhost:8000/rce.php?1=id 这...

03月06日52 views评论

阅读全文

代码审计

java不安全的反序列化

什么是反序列化序列化，是指将内存中的某个对象压缩成字节流的形式，而反序列化，则是将字节流转化成内存中的对象。Java序列化和反序列化处理是基于Java框架的Web应用中比较重要的功能。因为在网络中，无...

03月04日59 views评论

阅读全文

代码审计

源代码静态分析方法——代码属性图Code Property Graphs

本文为看雪论坛优秀文章看雪论坛作者ID：sfftlt_看雪ID：sfftlt_https://bbs.kanxue.com/user-home-822769.htm*本文由看雪论坛 sfftlt_ 原...

03月02日111 views评论

阅读全文

代码审计

JAVA安全|字节码篇：字节码文件结构与解读

本文为JAVA安全系列文章第二十三篇，学习掌握.class文件的结构，能根据文档对16进制字节码文件进行解读。0x01 字节码文件结构一、字节码文件java是一门跨平台的语言，我们使用ja...

03月02日34 views评论

阅读全文

代码审计

分享 | java安全学习路线

项目地址https://github.com/HackJava/HackJava#08-java%E5%AE%89%E5%85%A8%E5%8F%82%E8%80%83%E8%B5%84%E6%BA%...

03月02日275 views评论

阅读全文