代码审计 - 第 146 | CN-SEC 中文网

代码审计

由浅入深RMI安全

RMI 介绍RMI即远程方法调用，可以让一个JVM调用另一个JVM上的远程类(实现java.rmi.Remote接口的类)的方法。这个过程有三个组织参与：client、注册中心(registry)、s...

03月15日101 views评论

阅读全文

Log4j漏洞全方位解析

Log4j 漏洞复现利用Apache Log4j 2.x <= 2.14.12.0 <= Apache log4j2 <= 2.14.1漏洞成因1.Log4j2漏洞其实是JNDI注入...

03月15日代码审计109 views评论

阅读全文

代码审计

Java安全之Commons Collections4-7分析

CC4分析import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter;import javassist.*;imp...

03月14日76 views评论

阅读全文

代码审计

某cms的任意文件读取和删除

原文作者：是juju呀原文地址：https://xz.aliyun.com/t/10932文末送书福利前言记录一下最近碰到的几处cms路径穿越的问题（均在后台）,均已提交CNVD。正文1.某cms的任...

03月13日126 views评论

阅读全文

代码审计

如何使用njsscan识别Node.JS应用中的不安全代码

关于njsscan njsscan是一款功能强大的静态应用程序测试（SAST）工具，可以帮助广大研究人员找出Node.JS应用程序中不安全的代码模式。该工具使用了libsast的...

03月13日69 views评论

阅读全文

代码审计

记一次对wuzhicms的审计

文章首发于奇安信社区：https://forum.butian.net/share/1126前言在网上漫游发现的一个cms cnvd也是有提交的也是初次审计这种官网：https://www.wuzhi...

03月11日143 views评论

阅读全文

代码审计

分享 | 记一次渗透实战-代码审计到getshell

文章来源：奇安信攻防社区地址：https://forum.butian.net/share/1206作者：dota_st0x0前言接到任务，需要对一些违法网站做渗透测试......0x1信息收集根据提...

03月11日95 views评论

阅读全文

代码审计

原创干货 | 利用白盒与黑盒结合的方式审计某CMS

0x01在群里看到Ashe表哥放了几手0day,心里那个羡慕啊于是打算开始学代码审计逛CNVD的时候发现最近SDCMS的漏洞比较多,于是下手挖掘,找到了两个漏洞的位置,因为此源码一些关键的位置都混淆了...

03月11日174 views评论

阅读全文

代码审计

代码审计安全实践

第一次写文章,希望大牛们轻喷一、代码审计安全代码编写安全: 程序的两大根本:变量与函数漏洞形成的条件:可以控制的变量“一切输入都是有害的 ”变量到达有利用价值的函数（危险函数）“一切进入函数的变量是有...

03月09日72 views评论

阅读全文

代码审计

Cobra - 白盒代码安全扫描与分析系统

项目地址：https://github.com/wufeifei/cobra项目介绍眼镜蛇(Cobra)是一款定位于静态代码安全分析的工具，目标是为了找出源代码中存在的安全隐患或者漏洞。目标用户1. ...

03月07日247 views评论

阅读全文

代码审计

【渗透实战系列】24|-针对CMS的SQL注入漏洞的代码审计思路和方法

0x00 SQL注入漏洞：简单介绍一下SQL语句：通俗来理解就是开发者盲目相信用户，没有严格检查用户输入，导致用户可以输入恶意参数进入程序逻辑，最终拼接恶意参数改变原本的SQL语句逻辑，造成SQL注入...

03月07日178 views评论

阅读全文

代码审计

ThinkPHP 6.x反序列化POP链（二）

环境准备安装ThinkPHP 6.0composer create-project topthink/think=6.0.x-dev v6.0修改application/index/controlle...

03月07日138 views评论

阅读全文

由浅入深RMI安全

Log4j漏洞全方位解析

Java安全之Commons Collections4-7分析

某cms的任意文件读取和删除

如何使用njsscan识别Node.JS应用中的不安全代码

记一次对wuzhicms的审计

分享 | 记一次渗透实战-代码审计到getshell

原创干货 | 利用白盒与黑盒结合的方式审计某CMS

代码审计安全实践

Cobra - 白盒代码安全扫描与分析系统

【渗透实战系列】24|-针对CMS的SQL注入漏洞的代码审计思路和方法

ThinkPHP 6.x反序列化POP链（二）

在线咨询

微信