代码审计 - 第 12 | CN-SEC 中文网

代码审计

Exchange 反序列化漏洞分析（一）

前言这是 Exchange 反序列化漏洞分析系列的第一篇。这篇文章先来分析一下 CVE-2021-42321，为下一篇 CVE-2022-23277 做铺垫。0x01 漏洞简介2021.10.16...

02月15日17 views评论

阅读全文

代码审计

入坑Java安全之Shiro-721漏洞分析

声明：本公众号文章来自作者日常学习笔记或授权后的网络转载，切勿利用文章内的相关技术从事任何非法活动，因此产生的一切后果与文章作者和本公众号无关！0x00 前言上一篇文章介绍了Shiro550的原理以及...

02月15日19 views评论

阅读全文

代码审计

记录一次java任意文件读取漏洞审计

1、首先安装git工具,我们打开命令行将当前项目最新版本1.3的源码拉取下来：git clone https://gitee.com/jeecg/jeewx-boot.git2、源码拉取成功后接下这我...

02月15日11 views评论

阅读全文

代码审计

记java代码审计(1)

“ 腰疼，脖子疼” 最近闲着没事，弄了几十套源码下来玩。资产都是满足cnvd要求的(懂得都懂，想要的尽快)，定个小目标，二十四套源码，一半得拿shell啊，最次也得挖个注入吧。从黑盒...

02月15日11 views评论

阅读全文

代码审计

JAVA反序列化 - commons-collections - 1

No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必...

02月15日12 views评论

阅读全文

代码审计

AKun Wallpaper 代码审计——实战分析（五）

前言在这一篇文章中将继续分析fortify扫描出的漏洞。▶ 漏洞分析1▪ 在fortify的左边漏洞视图中看到了 Header Manipulation:Cookies，fortify的解释是：Inc...

02月15日31 views评论

阅读全文

代码审计

代码审计（一）

代码审计（一）系统架构基于Java语言，采用流行的架构整合相关主流技术开发的网站/系统，SpringBoot+springsecurity+mybatis等。项目目录src/main 下面有两个目录，...

02月15日7 views评论

阅读全文

代码审计

熊海CMS-1.0代码审计

0x01 任意文件读取文件位置:index.php<?php//单一入口模式error_reporting(0); //关闭错误显示$file=addslashes($_GET['r']); /...

02月15日4 views评论

阅读全文

代码审计

Fastjson v1.2.80 Throwable AutoType 机制绕过漏洞分析

★且听安全★-点关注，不迷路！★漏洞空间站★-优质漏洞资源和小伙伴聚集地！漏洞信息近期 Fastjson Develop Team 报告了 Fastjson v1.2.80 存在 AutoType 绕...

02月15日17 views评论

阅读全文

代码审计

Fastjson 反序列化分析

前言继续学习Fastjson反序列化 Fastjson的使用直接上代码先引入fastjson1.2.24依赖 <dependency> <groupId>com.alib...

02月15日17 views评论

阅读全文

代码审计

【yso】- CC6反序列化分析

前言继续学习ysoserial中的CommonsCollections6反序列化利用链。ysoserial中CC6 payload构造先看下yso中cc6这条链的payload是怎么构造的，后续我们再...

02月15日11 views评论

阅读全文

代码审计

URLDNS Gadget分析

前言URLDNS是ysoserial中比较简单的gadget，可以通过分析其利用链来了解反序列化执行java代码的过程。相较于其他gadget，URLDNS不依赖于第三方类和不限制jdk版本的属性使其...

02月15日9 views评论

阅读全文

Exchange 反序列化漏洞分析（一）

入坑Java安全之Shiro-721漏洞分析

记录一次java任意文件读取漏洞审计

记java代码审计(1)

JAVA反序列化 - commons-collections - 1

AKun Wallpaper 代码审计——实战分析（五）

代码审计（一）

Fastjson v1.2.80 Throwable AutoType 机制绕过漏洞分析

Fastjson 反序列化分析

【yso】- CC6反序列化分析

URLDNS Gadget分析

在线咨询

微信