0x01代码审计的基本概念和流程 1、代码审计的定义和背景 Java代码审计是指对Java应用程序代码的分析,以确定是否存在安全漏洞和风险,并提出修复建议的过程。Java应用程序的开发在近年来已经成为...
07月12日35 viewsjava代码审计已关闭评论代码审计
安全性
java代码审计
07月12日35 viewsjava代码审计已关闭评论代码审计
安全性
07月12日35 viewsjava代码审计已关闭评论代码审计
安全性
九维团队-绿队(改进)| JNDI用法示例及安全开发建议(下)
上篇内容请点击浏览:九维团队-绿队(改进)| JNDI用法示例及安全开发建议(上)十一、RMI/LDAP 远程对象引用安全限制在 RMI 服务中引用远程对象将受本地 Java 环境限制,即本地的 ja...
07月11日21 views评论jndi
ldap
华夏ERP CMS 代码审计
环境搭建 https://github.com/jishenghua/jshERP/releases/tag/2.3 创建数据库jsh_erp,导入sql文件 修改数据库连接密码 代码审计 首先,整个...
07月11日40 views评论filter
servlet
GlassFish-Filter内存马分析
GlassFish-Filter内存马分析目录前言分析FilterFilter内存马获取上下文具体实现前言Glassfish5.0.0分析 glassfish Filter内存马环境搭建HelloFi...
07月11日28 views评论filter
servlet
记一次攻防演练黑盒测试代码审计
0x00 前言某次在公司项目渗透时,客户临时要求从去年的hw靶标中选一个作为现场演示攻击手法,我的天,去年的,人早都修了只能自己慢慢再去挖一下了。0x01 黑盒测试开局典型登陆框Net的站点...
07月10日34 views评论代码审计
攻防演练
一个自定义字典工具的源码分析
一个自定义字典工具的源码分析 removeSlashPrefix func removeSlashPrefix(text string) string { for { if strings.HasPr...
07月10日9 views评论函数
字符
【学习笔记】Weblogic反序列化审计(原理+利用)
0x01 前言JAVA不是很熟,打算练练手,以下内容都是参考了很多师傅的文章,并非原创,只是作为汇总+复现,内容如有错漏之处,恳请指正0x02 目录XMLDecoder反序列化漏洞(CVE-...
07月09日72 views评论weblogic
反序列化漏洞
JDI自动代码审计分析的可能
我经常对半自动化代码审计的工具会有个小小的问点,无论是现今所谓的静态代码分析还是自动化代码分析工具,他们的注重点永远的都是挖掘源代码的漏洞。但是很多情况下会有到这样的问题:public class T...
07月05日13 views评论servlet
代码审计
beescms代码审计
一、后台登录页面存在sql注入漏洞点:adminlogin.php我们找到这个漏洞点,可以看到这个sql语句是没有经过过滤的。定义check_login函数,带两个参数可以看到,sql直接查询这两个参...
07月05日60 views评论cms代码审计
loginphp
记录众测过程中研究审计某SRM代码
0x00:前言这套SRM系统是在某次众测看到的厂商资产,发现其用的比较广泛,遂找到公开的材料和代码研究了一下,本文简要的记录了分析过程和成果。0x01:初探在测试过程中发现目标系统的大部分后缀为scr...
07月04日32 views评论struts
svc
PHP反序列化漏洞
PHP反序列化漏洞详解 今天简单介绍一下php反序列化漏洞,其实这个漏洞我们在实战中并不常见,经常在某些CTF比赛,或者是面试的时候会问到,所以这个我们还是需要了解的。本文主要讲解的是PHP的反序列化...
07月04日20 views评论反序列化
序列化
PHP反序列化【原理+CTF实战】
获网安教程 免费&进群 本文由掌控安全学院-nocircle投稿 序列化:将对象型数据转换成字符串 , serialize()。 反序列化顾名思义便是将字符串还原换成对象 , unserial...
07月04日28 views评论happy
序列化
128