代码审计 - 第 31 | CN-SEC 中文网

代码审计

『代码审计』ysoserial Jdk7u21 反序列化漏洞分析

日期：2023-06-21作者：ICDAT介绍：这篇文章主要是对ysoserial中JDK7u21反序列化进行分析。 0x00 前言最近在项目中遇到了一些反序列化的漏洞，在学习过程中不可避免的接触到...

11月01日23 views评论

阅读全文

代码审计

某最新版快递微信小程序系统存在前台任意文件读取漏洞

0x00 系统简介源码站简介:2024最新版快递跑腿微信小程序，支持查快递，查运费，分享佣金，修改地址，个人中心等功能，现在电商平台退换货量大，快递需求量大，对接物流一个单子4块到6...

10月31日30 views评论

阅读全文

代码审计

一次代码审计项目案例

免责申明本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。一、前言好久没有给大家更新了，这次记录一下...

10月31日14 views评论

阅读全文

代码挖掘终极指南：5 大工具和 8 个用例

软件开发注重在尽可能短的时间内交付高质量的软件。然而，据报道 49% 的软件开发项目失败了。研究人员部署不同的数据挖掘技术和工具来查找和修复错误，以防止如此高的失败率并缩短项目时间。有两个学术领域：·...

10月30日代码审计27 views评论

阅读全文

代码审计

FASTJSON反序列化漏洞合集分析小记（一）

知识前提：Fastjson：FastJson是阿里巴巴的的开源库，用于对JSON格式的数据进行解析和打包。采用一种“假定有序快速匹配”的算法，能够支持将java bean序列化成JSON字符串，也能够...

10月29日19 views评论

阅读全文

代码审计

瑞友天翼代码审计

1漏洞详情一、7.0.3.1之前漏洞主要出现ConsoleExternalUploadApi.XGI接口出现漏洞的方法为getfarminfofromdb很明显的sql注入其中sign值是通过以下...

10月29日27 views评论

阅读全文

代码审计

迅睿cms 前台RCE

迅睿cms 前台RCE 写在前面这是开始漏洞演示成功时录的屏，算是昙花一现的前台GETSHELL。因为危害大，利用难度低，我匆匆写了报告，提交CNVD后，立即联系了厂家，他们也很迅速，20分钟就修...

10月29日33 views评论

阅读全文

代码审计

12.Fastjson（.NET）反序列化点前篇

1.Fastjson的使用.NET版本的Fastjson如何呢，用它序列化试试，这里要对Y4er师傅的代码修改一下，如果这个类没有public的标记，反序列化的时候会出现错误加上public就好了：2...

10月29日15 views评论

阅读全文

代码审计

10.JavaScriptSerializer反序列化点

1.JavaScriptSerializer基础使用这也是一个用于json序列化与反序列化的类，学习一下使用。先写一个用于测试的类，注意这个类可以不用打上Serializable特性序列化与反序列化流...

10月29日16 views评论

阅读全文

ShowDocV3-2-5最新版SQL注入及老版本反序列化分析

ShowDocV3.2.5最新版SQL注入及老版本反序列化分析注入从提交记录我们能找到一些提示https://github.com/star7th/showdoc/commit/80598351808...

10月29日安全博客21 views评论

阅读全文

安全博客

浅析通天星CMSV6车载定位监控平台远程代码执行漏洞

浅析通天星CMSV6车载定位监控平台远程代码执行漏洞写在前面看了一下通告看着还是比较有意思的，通天星CMSV6车载定位监控平台远程代码执行漏洞第一步是通过任意文件读取漏洞，读取log日志获取admin...

10月29日29 views评论

阅读全文

安全博客

如何判断在IDEA中程序正在运行或正在Debug

如何判断在IDEA中程序正在运行或正在Debug给大家分享一个有趣又无用的东西，如何判断在IDEA中程序正在运行或正在Debug在这个之前我们首先需要了解一个类ManagementFactory ，它...

10月29日11 views评论

阅读全文

在线咨询

微信