代码审计 - 第 177 | CN-SEC 中文网

代码审计

[代码审计] xhcms SQL注入漏洞&越权[后台]分析

一、漏洞简介：程序直接将POST接收到的参数拼接到SQL语句中执行，没有进行任何的过滤，并且后台验证登陆的代码可以进行绕过，导致后台文件都可以被越权访问。二、漏洞分析过程：1、/inc/checklo...

01月17日784 views评论

阅读全文

代码审计

Java代码审计课笔记赏析

通过对Java课程学习,学习者通过深入学习理解加上上机实验对每天的学习进行了总给记录，如下图.通过观赏本笔记可节省%40学习时间. 特此奉上. 后期更新一部分Java代码审计课程视...

01月13日242 views评论

阅读全文

代码审计

NG娱乐城0day！+全套源码程序！（限时）

0x00 前言：这是以前碰到的杀猪盘，打下后拷贝的源码，现在限时发出来给大家研究审计~0x01 网站界面：0x02 已知0day：/app/helpers.php 存在SQL注入s...

01月11日749 views评论

阅读全文

代码审计

blue CMS 实战 (1)

前言：Blue Cms 为很多人入坑php代码审计的开始，是一款小众的CMS，已经很久不更新了，网上的文章也很多，之前也发布过很多漏洞，这里我将之前写的文档进行整理分享出来，对此CMS的大部分漏洞进行...

01月11日311 views评论

阅读全文

代码审计

使用自己的代码查找漏洞：检测功能相似但不一致的代码

原文作者：Mansour Ahmadi，Reza Mirzazade Farkhani，Ryan Williams，Long Lu原文标题：Finding Bugs Using Your Own Co...

01月10日233 views评论

阅读全文

代码审计

[代码审计] xhcms 存储型XSS漏洞分析

一、漏洞简介：程序直接将POST接收到的留言信息保存到数据库中，没有进行任何过滤，导致后台管理员查看留言信息的时候，会触发插入的XSS payload，造成存储型XSS漏洞。二、漏洞分析过程：/con...

01月09日490 views评论

阅读全文

代码审计

限时下载｜放一套caipiao杀猪盘源码供各位审计学习

前台大概这样后台大概这样结构的话...多个应用打包在一起的，审计的时候仔细看结构～ 5pyA6L+R5omT5LqG5b6I5aSa5aWXc3Nj5ZKMYmPvvI...

01月08日527 views评论

阅读全文

代码审计

微X盘多个0day+源码(限时下载)

登录后台：http://192.168.5.96/admin/index/index.html进后台添加了一个用户名为 123 密码为 test1234 的用户方便我们测试。这次从功能测试...

01月04日409 views评论

阅读全文

【漏洞预警】骑士CMS weixin connect 远程代码执行漏洞

近日，阿里云应急响应中心捕获到多起针对骑士CMS weixin插件远程代码执行漏洞的利用样本。漏洞描述骑士CMS是一套基于PHP+MYSQL的免费网站管理系统。近日，阿里云应急响应中心捕获到多起针对骑...

12月30日代码审计346 views评论

阅读全文

代码审计

《代码审计》学习计划

0x00 前言虽然小黑现在还只是个脚本小子，但心里还是有一个黑客梦的。成为黑客的第一步就是要学会代码审计！上周从书柜里拿出了尘封已久的Seay著的《代码审计》一书，利用一周时间略读了一遍。根据书中内容...

12月27日95 views评论

阅读全文

代码审计

记一次对ueditor的捡漏之旅

（已知目标ip为1.1.1.1）使用fofa看看有哪些web服务：我一般会习惯性的F12、刷新看看网站会加载哪些资源（总会出现一些奇妙的路径）如图：ueditor+jspSSRF目录遍历文件上传 =&...

12月21日2,641 views评论

阅读全文

代码审计

【实例剖析】记一次通过代码审计完成的渗透

网安教育培养网络安全人才技术交流、学习咨询这是一次针对某高校的授权安全测试，只给了目标学校的名字，所有资产自行收集。信息收集无非老三样，百度、子域名、C端。通过百度，我们找到了目标学校的域名examp...

12月21日237 views评论

阅读全文

Java代码审计课笔记赏析

NG娱乐城0day！+全套源码程序！（限时）

blue CMS 实战 (1)

使用自己的代码查找漏洞：检测功能相似但不一致的代码

[代码审计] xhcms 存储型XSS漏洞分析

限时下载｜放一套caipiao杀猪盘源码供各位审计学习

【漏洞预警】骑士CMS weixin connect 远程代码执行漏洞

《代码审计》学习计划

记一次对ueditor的捡漏之旅

【实例剖析】记一次通过代码审计完成的渗透

在线咨询

微信