zabbix sql注入漏洞爆出来已有好几天了,最近忙于安全盒子用户中心的设计,一直没有去研究这个注入,今天早起,闲暇时间写下该文。 zabbix简介zabbix是一个基于WEB界面的提供分布式系统监...
FineCMS前台getshell
FineCMS企业网站管理系统(简称免费版或企业版)是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统,面向多终端包括Pc端网页和移动端网页,支持自定义内容模型和会员模型,并且可...
浅谈Discuz插件代码安全
目录 Discuz介绍 Discuz插件介绍 结合实例讲解Discuz插件安全 结语 Discuz介绍Crossday Discuz! Board(简称 Discuz!)是北京康盛新创科技有限责任公司...
PHPCMS最新版任意文件上传漏洞分析
前几天就听朋友说PHPCMS最新版出了几个洞,有注入还有任意文件上传,注入我倒不是很惊讶,因为phpcms只要拿到了authkey注入就一大堆…… 任意文件上传倒是很惊讶,但是小伙伴并没有给我exp,...
Typecho 反序列化漏洞导致前台getshell
最早知道这个漏洞是在一个微信群里,说是install.php文件里面有个后门,看到别人给的截图一看就知道是个PHP反序列化漏洞,赶紧上服务器看了看自己的博客,发现自己也中招了,相关代码如下: 然后果断...
经验分享,Java代码审计从零到一我是如何学习的
这不仅仅是一套视频课程教学,更多的是一位有经验的师傅带着你,给你指点迷津,一起进步!#00 课程简介由【闪石星曜CyberSecurity】云渡师傅出品的《Java代码审计零基础到实战》的线上手把手视...
Python pickle 反序列化实例分析
本文首发于安全客:https://www.anquanke.com/post/id/188981 前言之前 SUCTF 出了一题 pickle 反序列化的杂项题,就感觉相当有意思。后来 Balsn 一...
漏洞挖掘 | 织梦DedeCms V5.7.112 sql延时盲注 CVE-2024-3148
织梦DedeCms V5.7.112 sql延时盲注 CVE-2024-3148前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请联系。还在...
代码安全静态分析(3)-污点分析
污点分析(Taint Analysis)是静态代码分析领域的一项核心技术,它专注于追踪数据流,以确定潜在的安全漏洞,如SQL注入、跨站脚本(XSS)等。污点分析通过模拟数据流经程序的路径,识别哪些数据...
JRASP反射加固实践
JRASP反射加固实践JRASP十分重视自身安全性的建设,采用了多种方式提高RASP自身的安全防护能力,包括:策略配置加密;RASP自身代码与业务隔离;安全策略模块磁盘加密、运行时解密;Agent与D...
Youdiancms 7 审计
0x00 前言Fofa:app="友点建站-CMS"0x01 前台信息泄露访问 /t.php 或 /upload/t.php 泄露了网站根目录等信息./t.php?action=phpinfo //调...
Java安全攻防之Spring Cloud Gateway攻击Redis
1概述案例来源于去年二月的一次攻防项目,在进入到目标公司外网nacos后,通过翻阅nacos中的配置文件发现存在gateway路由配置文件,以及内网redis地址、密码。尝试在nacos中通过编辑路由...
123