代码审计 - 第 51 | CN-SEC 中文网

代码审计

Fastjson反序列化漏洞深度分析

概述Fastjson是阿里巴巴的⼀个开源Java库，提供了Java对象与Json相互转换的APItoJSONString()方法：将Json对象转换成Json字符串；parseObject()方法：将...

07月03日21 views评论

阅读全文

PHP变量覆盖漏洞学习笔记

简介变量覆盖即通过外部输入将某个变量的值给覆盖掉，通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞，下面是几种常见的变量覆盖漏洞类型。 register_global 全局变量注册，本...

07月02日代码审计65 views评论

阅读全文

代码审计

记一次java协同办公OA系统源码审计

前言因为笔者也是代码审计初学者，写得不好的地方请见谅。该文章是以项目实战角度出发，希望能给大家带来启发。审计过程审计思路 1、拿到一个项目首先要看它使用了什么技术框架，是使用了ssh框架，还是使...

07月02日15 views评论

阅读全文

代码审计

源码分析致远A8任意文件读取漏洞，附数据库密码解密脚本

漏洞分析致远A8，又称致远互联A8协同管理软件，是面向中型、大型、集团型组织（集团版OA）的数字化协同运营中台。A8版本的系统小版本较多，本次分析用的源码是致远A8 V7 SP1版本...

07月02日188 views评论

阅读全文

代码审计

某开源电商系统代码审计

07月01日26 views评论

阅读全文

代码审计

信呼OA后台GETSHELL分析

信呼OA后台GETSHELL 测试版本：v2.6.3（最新版）前两天某天收洞，说奖金挺高，想着挖一挖赚点外快，审核说无法复现不收，不收就不收吧。那我就提交cnvd，cnvd嫌我不写分析步骤不收驳回...

07月01日24 views评论

阅读全文

代码审计

干货 | JAVA内存马研究0到1（3万字总结，建议收藏）开放文库更新！

知识文库同步更新本篇文章内容已同步至CKCsec安全研究院知识文库文库地址：https://wiki.ckcsec.cnGithub：https://github.com/ckcsec/wiki-vi...

06月30日110 views评论

阅读全文

代码审计

Java内存马基础(一)三大件（Servlet、Filter、Listener）

Java Web 三大件：在讲Tomcat 之前，先说讲一讲Java Web 三大件，也就是Servlet、Filter、 Linstener，当 Tomcat 接收到请求后，会依次经过 Lis...

06月28日12 views评论

阅读全文

代码审计

漏洞分析—禅道项目管理系统18.5后台RCE

前言最近在看各漏洞源更新时，发现禅道18.5爆出了一个新的RCE，poc有两个请求，分别如下：POST /zentaopms/www/index.php?m=custom&f=ajaxSave...

06月27日374 views评论

阅读全文

代码审计

原创 | PHP代码执行漏洞函数详解

PHP提供代码执行漏洞是方便开发人员处理各类数据和各种业务场景，但是在开发人员不能合理使用的时候，就会产生安全风险，则很容易被攻击者利用执行远程的PHP恶意代码，威胁到系统安全。 PHP代码里包含ev...

06月27日68 views评论

阅读全文

代码审计

反序列化学习之路-CC5

前言在我们分析前几条链后，对于CC已经很熟悉了，CC5链和CC1差不多，只不过调用LazyMap.get()是通过TiedMapEntry.toString()触发1.环境安装我们可以接着使用之前已经...

06月25日87 views评论

阅读全文

代码审计

代码安全审计经验分享

SQL注入 01 MyBatis框架中的注入漏洞 Mybatis框架支持的CURD功能可以直接搜索XML文件中的${和${}拼接的SQL语句，如果SQL的参数可控，就可能造成注入风险。另外，有的SQ...

06月22日37 views评论

阅读全文

Fastjson反序列化漏洞深度分析

PHP变量覆盖漏洞学习笔记

记一次java协同办公OA系统源码审计

源码分析致远A8任意文件读取漏洞，附数据库密码解密脚本

某开源电商系统代码审计

信呼OA后台GETSHELL分析

干货 | JAVA内存马研究0到1（3万字总结，建议收藏）开放文库更新！

Java内存马基础(一)三大件（Servlet、Filter、Listener）

漏洞分析—禅道项目管理系统18.5后台RCE

原创 | PHP代码执行漏洞函数详解

反序列化学习之路-CC5

代码安全审计经验分享

在线咨询

微信