代码审计 - 第 154 | CN-SEC 中文网

代码审计

某开源商城代码审计

为了审计而审计,原文发布已在奇安信社区发布：https://forum.butian.net/share/402工具：Phpstrom、Seay源代码审计系统步骤：自动审计：找到关键点，这是在后台部分...

12月24日125 views评论

阅读全文

代码审计

某WIFI管理设备代码审计

⾸先先了解⽂件函数调⽤流程，查看与 index.html 同⽬录的⽂件 jumpto.php关于由于漏洞法案的发布，文库已经于20号关闭啦，非常感谢师傅们的支持～后续的更新可能就不涉及漏洞方面，而是更...

12月23日97 views评论

阅读全文

代码审计

关于blackhat2021披露的fastjson1.2.68链

熟悉fastjson1.2.68反序列化的请直接看三。一、fastjson 1.2.68反序列化历史fastjson 1.2.68可以利用java.lang.AutoCloseable绕过checkA...

12月22日436 views评论

阅读全文

代码审计

代码审计 | Zoho 从未授权访问到远程 RCE

本文作者：Z1NG（信安之路核心成员，擅长代码审计、红队技术）ZOHO ManageEngine ServiceDesk Plus（SDP）是美国卓豪（ZOHO）公司的一套基于 ITIL 架构的 IT...

12月20日251 views评论

阅读全文

代码审计

Fastjson反序列化漏洞史（上）

Fastjson没有cve编号，不太好查找时间线，一开始也不知道咋写，不过还是慢慢写出点东西，幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以...

12月17日106 views评论

阅读全文

代码审计

CMS审计:任意文件删除->RCE

目录前言漏洞挖掘思路分享全局搜索，定位关键字判断前台洞 or 后台洞漏洞利用了解路由，构造payload验证漏洞，尝试getshell小结前言最近投了一些白盒审计的岗位，于是想着多看看代码，训练一下审...

12月16日146 views评论

阅读全文

代码审计

tp二次开发的代码审计（PHP代码审计）

其实框架比较老，大家学习一下思路。小浪觉得你不会代码审计，就拿着工具搞渗透，没撒前途，多看看代码，就是HVV也靠0day冲名次呀，这是你成为大神必经的路。希望各位师傅能明白这个道理。概述一款某单子Tp...

12月14日244 views评论

阅读全文

代码审计

PHP编码安全：上传文件安全

转自：计算机与网络安全在Web系统中，允许用户上传文件作为一个基本功能是必不可少的，如论坛允许用户上传附件，多媒体网站允许用户上传图片，视频网站允许上传头像、视频等。但如果不能正确地认识到上传带来的风...

12月11日133 views评论

阅读全文

代码审计

【创宇小课堂】代码审计-Filter内存马

为什么需要内存马在红蓝对抗或攻防演练中，如果上传的webshell，没有经过加密或者去特征，很容易被防守队员查杀。因此在攻与防的对抗中诞生了内存马，一种无文件落地的webshell技术。内存马种类se...

12月10日122 views评论

阅读全文

代码审计

.Net XmlSerializer反序列化学习

前言：在看了很多dotNetXmlSerializer反序列化的文章后，我不由得产生了两个个问题：ObjectDataProvider为什么能够执行命令？使用XamlReader是否需要特定的代码环境...

12月10日175 views评论

阅读全文

代码审计

Log4j2 JNDI RCE分析(已打码处理)

# 本文仅供安全研究使用 👮这里想提一下，看到很多人在"疯狂"地测dnslog，其实还是希望在没有授权情况下最好不要进行漏洞探测/攻击行为，毕竟"自律才是自由的基础"! 👮写在前面写这篇文章单纯为了记...

12月10日1,507 views评论

阅读全文

代码审计

Java Web安全之代码审计（总结的很全）

信息安全的75%发生在Web应用而非网络层。本文内容主要以Java Web安全-代码审计为中心展开。文章内容很全，1万8千字，建议收藏本文目录一、JavaWeb 安全基础1. 何为代码审计?2. 准备...

12月08日165 views评论

阅读全文

某开源商城代码审计

某WIFI管理设备代码审计

关于blackhat2021披露的fastjson1.2.68链

代码审计 | Zoho 从未授权访问到远程 RCE

Fastjson反序列化漏洞史（上）

CMS审计:任意文件删除->RCE

tp二次开发的代码审计（PHP代码审计）

PHP编码安全：上传文件安全

【创宇小课堂】代码审计-Filter内存马

.Net XmlSerializer反序列化学习

Log4j2 JNDI RCE分析(已打码处理)

Java Web安全之代码审计（总结的很全）

在线咨询

微信