代码审计 - 第 2 | CN-SEC 中文网

代码审计

炼石计划之50套JavaWeb代码审计（二）：基于SpringBoot架构的OA系统

1 项目安装 A、基础环境部署 1、项目介绍 oasys是一个OA办公自动化系统，使用Maven进行项目管理，基于springboot框架开发的项目，mysql底层数据库，前端采用fr...

06月26日29 views评论

阅读全文

代码审计

记一次（咸鱼、转转、交易猫）假客服系统的代码审计

免责声明：本公众号太乙Sec实验室所提供的实验环境均是本地搭建，仅限于网络安全研究与学习。旨在为安全爱好者提供技术交流。任何个人或组织因传播、利用本公众号所提供的信息而进行的操作，所导致的直接或间...

06月25日33 views评论

阅读全文

代码审计

网络安全对抗演练，扫描器 Nmap 原理概述（源码视角）

序本文偏技术细节，网络扫描工具中最著名的非Nmap莫属，在作者看来Nmap是个好用并且有学习价值的工具，否则也不会从1997年出现至今经久不衰。作为开源软件，凝结了大量安全研究人员的努力，无论是代码结...

06月25日18 views评论

阅读全文

代码审计

利用解析差异复活某凌OA前台RCE

前言 23年网上公开了一个某凌OA前台RCE,接口为/sys/ui/sys_ui_component/sysUiComponent.do这个漏洞是文件解压以后复制到WEB目录导致的任意文件写入，接口是...

06月25日28 views评论

阅读全文

代码审计

Ecology9 SQLi

前言前段时间运气好捡到的一个注入，简单讲讲原理。漏洞分析漏洞页面为：/js/hrm/getdata.jsp，这块在EC9内置存在大量文件形式以及类形式的安全规则，通过分析SecurityMain逻辑以...

06月24日23 views评论

阅读全文

代码审计

php代码审计篇 - 信呼OA 前台注入

信呼OA v2.6.7 SQL注入漏洞系统介绍信呼，免费开源的办公OA系统，包括APP，pc上客户端，REIM即时通信，服务端等，让每个企业单位都有自己的办公系统。官网：http://www.rock...

06月24日29 views评论

阅读全文

代码审计

shiro反序列化漏洞原理分析

前言：本文不包含CB链分析，只是单纯的漏洞序列化和反序列化的超详细分析。漏洞分析：序列化过程：1.调用convertPrincipalsToBytes方法并传递数组类型的实例accountPrinci...

06月23日24 views评论

阅读全文

代码审计

【实战攻防】攻防项目中的代码审计

前言在一些攻防项目中，除了一些常见的大型系统外，常常还会遇到其他一些相对小众的系统，而在打不动大型系统时，这些相对小众的系统往往是比较好的入口点，这些系统更容易通过代码审计找到一些漏洞，从而getsh...

06月23日23 views评论

阅读全文

代码审计

代码审计系列-基础篇-SSTI-Thymeleaf模版注入漏洞

本篇为代码审计系列SSTI服务器端模板注入漏洞理论篇-Thymeleaf第九篇，看完本篇你将掌握关于Thymeleaf模版注入漏洞的代码视角原理剖析、基础挖掘漏洞核心能力，看完如有技术错误欢迎评论区指...

06月23日14 views评论

阅读全文

代码审计

JAVA代码审计之鉴权逻辑错误审计小记

文章前言在之前对MyBlog的代码审计过程中我们可以发现整个博客系统的用户分为两个大类：一个是管理员——admin，它主要负责后台的文件内容的编辑和发布以及对整个系统了统一管理和配置，另外一个则是普通...

06月20日31 views评论

阅读全文

代码审计

代码审计系列-基础篇-SSTI-FreeMarker模版注入漏洞

本篇为代码审计系列SSTI服务器端模板注入漏洞理论篇-FreeMarker第八篇，看完本篇你将掌握关于FreeMarker模版注入漏洞的代码视角原理剖析、基础挖掘漏洞核心能力，看完如有技术错误欢迎评论...

06月20日22 views评论

阅读全文

安全博客

trojan多用户管理部署程序审计学习

最近看到大佬提的issue，正好学习下 https://github.com/Jrohy/trojan 指纹特征 1 2 3 4 /auth/check 路径会返回title值,可以用作指纹特征 {"...

06月20日21 views评论

阅读全文

炼石计划之50套JavaWeb代码审计（二）：基于SpringBoot架构的OA系统

记一次（咸鱼、转转、交易猫）假客服系统的代码审计

网络安全对抗演练，扫描器 Nmap 原理概述（源码视角）

利用解析差异复活某凌OA前台RCE

Ecology9 SQLi

php代码审计篇 - 信呼OA 前台注入

shiro反序列化漏洞原理分析

【实战攻防】攻防项目中的代码审计

代码审计系列-基础篇-SSTI-Thymeleaf模版注入漏洞

JAVA代码审计之鉴权逻辑错误审计小记

代码审计系列-基础篇-SSTI-FreeMarker模版注入漏洞

trojan多用户管理部署程序审计学习

在线咨询

微信