JAVA代码审计-任意文件上传漏洞欢迎参加我们的Java代码审计课程!本课程旨在培养学员深入了解和实践Java应用程序安全性的技能,通过系统学习和实际案例分析,使学员能够识别并纠正潜在的安全漏洞。前期...
JAVA代码审计-任意文件下载漏洞(配套视频)
JAVA代码审计-任意文件下载漏洞欢迎参加我们的Java代码审计课程!本课程旨在培养学员深入了解和实践Java应用程序安全性的技能,通过系统学习和实际案例分析,使学员能够识别并纠正潜在的安全漏洞。前期...
代码审计-CVE-2023-6654-PHPEMS-加密-解密分析
本文来自团队小伙伴:c3ting 博客地址 https://c3ting.com 正文: 路由: 入口方法: 鉴权分析: 由此可以得出 鉴权是由session类负责获取参数后,由各个类的魔术方法负责:...
代码安全审计经验集(下)
对HTTP加密请求参数的测试对于HTTP请求体加密,如果直接使用明文的请求参数,是无法进行正常的安全测试的。但通常还是有办法分析出加解密的策略,如果能把加解密算法还原,就可以先将安全测试的payloa...
某OA的代码审计
某次渗透中,在短期内没有发现突破口,随后决定把重心放在目标的OA系统上,因为前期经过信息搜集,已经知道了该OA的框架,而且此系统是开源的。即使尝试了之前的Nday,发现有价值的漏洞都修复了,但是只要能...
.NET ORM 注入 审计-FreeSql中直接使用 SQL 片段的问题
.NET ORM 注入 审计-FreeSql中直接使用 SQL 片段的问题采用项目 ASP.NET Core Web Application 模板创建项目的demo搞定。环境OK了。看看注入的地方。O...
百家CMS v4.1.4代码审计
环境搭建源码下载:https://gitee.com/openbaijia/baijiacms.git放入PHPstudy,建一个baijiacms的数据库,访问进行安装,设置管理员用户和密码为adm...
1day | 万户OA系统审计
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,小黑说安全及文章作者不为此承担任何责任。0x01 漏洞分析打开整...
代码安全审计经验集(上)
通过fuzz方式绕WAF在目标系统发现一处SQL注入漏洞,但前置了一个某大厂的WAF,通常的套路是内联注释、编码、参数污染、分块传输等等,但方法都尝试了一遍之后,还是突破不了WAF。最后,绕过的技巧是...
某客服系统代码审计
写在前面该项目最后更新于2022年6月,是一套比较小众的客服系统,系统基于ThinkPHP5.0.24框架,漏洞原理很简单,大佬轻喷。系统简介ThinkPHP5.0.24+Gatewayworker搭...
fastjson反序列化-1.2.24漏洞利用与分析
本文由掌控安全学院 - xilitter投稿 0x01 利用条件 通过对fastjson基础知识的学习和反序列化流程的分析,发现它与我们之前学的常规的反序列化又不太一样。fastjson自己定义了一套...
【代码审计】PHP无框架代码审计
点击上方[蓝字],关注我们免责声明本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。文章正文本文主要以b...
128