代码审计 - 第 18 | CN-SEC 中文网

代码审计

Java安全小记-Commons-Collections2反序列化

通过yso的代码可以看出，cc2利用链用的是commons-collections4版本，而我们之前用的是3.1版本。所以首先要下载一下依赖，pom文件加入：<dependency> ...

01月08日13 views评论

阅读全文

代码审计

基于Fortify SCA 的GB/T 3494X 源码审计规则研究与应用

摘　要：2017 年颁布的GB/T 34943—2017《C/C++语言源代码漏洞测试规范》、GB/T 34944—2017《Java 语言源代码漏洞测试规范》、GB/T 34946—2017《C#语...

01月07日29 views评论

阅读全文

代码审计

Java安全小记-FastJson反序列化

Fastjson回顾这里先来回顾一下fastjson怎么使用，其实研究具体的漏洞主要就是fastjson的序列化和反序列化先来创建一个类package com.ocean;publicclassUse...

01月06日17 views评论

阅读全文

代码审计

某华命令执行Rce原理分析

复现路径:/evo-apigw/admin/API/Developer/GetClassValue.jsp 数据包： {"data": {"clazzName": "com.dahua.admin....

01月06日62 views评论

阅读全文

代码审计

代码审计之逃不过的命运

噩耗传来就这样被你征服，喝下你藏好的毒。。。。真的是爆头【抱头】唱征服。亡羊补牢反手就做个更新。漏洞复现 • 后台增加可执行的语句。 • 创建非管理组的用户 • 换浏览器登录选...

01月06日14 views评论

阅读全文

代码审计

Jspxcms V9.0.0漏洞分析学习

前言对于php代码审计已经满足不了日常工作的需求了，更多的是接触到了Java，而且大部分网站现在已经是由Java进行开发，对于Java的代码审计也不能落下。所以，本篇文章，作者参考https:/...

01月06日26 views评论

阅读全文

代码审计

导致Log4j Rce的JNDI注入

前言记前奏，复现分析了史诗级漏洞Log4j Rce漏洞，并且搞明白了调用链，发现后面是利用的JNDI注入漏洞，问了其他师傅，其他好多漏洞都是因为这个漏洞。为了总结完美一点，一定要补上本文，熟悉...

01月03日19 views评论

阅读全文

代码审计

Java 记一次对Jeecg V4.0的漏洞分析思路总结

前言前些天在逛社区的时候，偶然发现一篇好文章，主要的是思路上非常值得我学习。虽然努力了好几天，因为上传原因，不能够成功复现，所以就作为一个搬运工学习学习！源码地址https://gitee.c...

01月03日17 views评论

阅读全文

代码审计

禅道16.5 SQLi分析

漏洞描述禅道16.5 前台SQLi注入。漏洞分析 POST/GET注入皆可，因为代码中会判断是否传参进而取值执行SQL。继续跟踪，来到其父类查看是否存在createApp方法，并进行分析. 创建...

01月03日8 views评论

阅读全文

代码审计

Java Deserialization CB链分析

Commons-BeanUtilsBeanUtils底层是使用内省完成的（内省的底层是使用反射完成的）sun公司提供了内省（Introspector）的API，Apache去进行使用访问javabea...

01月03日4 views评论

阅读全文

代码审计

代码审计 - MCMS v5.4.1 0day挖掘

一、前言MingSoft MCMS 是中国铭飞 (MingSoft) 公司的一个完整开源的 J2ee 系统，可以到 Github 下载到源码，官网铭软・铭飞官网・低代码开发平台・免费开源Java C...

01月03日19 views评论

阅读全文

代码审计

Java安全小记-Commons-Collections1反序列化

TranformedMap复习一遍之前学过的，由于太过久远导致基本全部忘记了，还有就是当时的笔记记得太过于潦草导致根本没法复习。这次重新跟一遍cc1链。环境搭建具体搭建可以参考bilibili的白日梦...

01月02日5 views评论

阅读全文

Java安全小记-Commons-Collections2反序列化

基于Fortify SCA 的GB/T 3494X 源码审计规则研究与应用

Java安全小记-FastJson反序列化

某华命令执行Rce原理分析

代码审计之逃不过的命运

Jspxcms V9.0.0漏洞分析学习

导致Log4j Rce的JNDI注入

Java 记一次对Jeecg V4.0的漏洞分析思路总结

禅道16.5 SQLi分析

Java Deserialization CB链分析

代码审计 - MCMS v5.4.1 0day挖掘

Java安全小记-Commons-Collections1反序列化

在线咨询

微信