代码审计 - 第 53 | CN-SEC 中文网

代码审计

Aj-report 二次就业

微信公众号：黑伞安全关注可了解更多的网络安全技术分享。如有问题或建议，请公众号留言; 如果你觉得挖不到src漏洞，希望黑伞安全知识星球对你有帮助，欢迎加入[1] 内容目录 aj-report 二次就...

06月11日58 views评论

阅读全文

代码审计

CNVD漏洞代码审计 | 危险代码与漏洞成因分析

原文转载自Freebuf自己的文章：https://www.freebuf.com/vuls/401042.html 01 前言之前审了几个oa拿了几张CNVD证书和少许的现金奖励，这边我就根据审计...

06月11日51 views评论

阅读全文

代码审计

金和OA JC6 FreeMarker模板注入漏洞简析

01 分析开局一张图，CSDN上分享出来的只带POC的文章漏洞出现在viewConTemplate.action方法中，完整URL为： /jc6/platform/portalwb/portalw...

06月10日73 views评论

阅读全文

代码审计

通过代码审计用友获取CNVD高危证书

文章首发奇安信攻防社区 https://forum.butian.net/share/3058环境搭建版本：用友NC65链接:https://pan.baidu.com/s/10V-1Foq...

06月10日132 views评论

阅读全文

代码审计

华天动力OA登录绕过漏洞分析

0x00 前言今天看到一位师傅在公众号发了一个新的文章是关于华天动力OA的登录绕过漏洞，今天我也来分析一下。 0x01 漏洞分析涉及到的xml内容： <servlet> ...

06月10日162 views评论

阅读全文

代码审计

Dedecms最新版本RCE

前言前段时间朋友参加市级攻防演练正好遇到了一个医院dedecms二开的新闻站点，通过旁站sql注入成功进入dedecms后台，一看是最新版的dedecms朋友摇了摇头觉得无从下手，我直接掏出个人审计...

06月09日50 views评论

阅读全文

代码审计

代码审计-Java项目-反序列化漏洞

java序列化和反序列化的概念：序列化：把Java对象转换为字节流的过程。反序列化：把字节流恢复为Java对象的过程。序列化函数接口：Java：Serializable Externalizable接...

06月08日36 views评论

阅读全文

代码审计的规范参考

01基础术语代码安全审计:一种以发现代码安全缺陷和违反代码安全规范为目标的源代码安全性分析。隐蔽通道:为系统中不受安全策略控制的信息泄露路径。按信息传递的方式区分，隐藏通道分为隐蔽存储通道和隐蔽定时通...

06月08日代码审计40 views评论

阅读全文

代码审计

某低代码平台代码审计分析

文章来源：奇安信攻防社区文章链接：https://forum.butian.net/share/2997作者：Qiu_某次项目中遇到的系统，发现还是开源的，于是就下下来小审一下，从权限绕过到getsh...

06月08日35 views评论

阅读全文

代码审计

某客圈子社区小程序审计(0day)

0x00 前言 █ 纸上得来终觉浅，绝知此事要躬行 █ Fofa:"/static/index/js/jweixin-1.2.0.js" 该程序使用ThinkPHP 6.0.12作为框架，所以直接审计...

06月07日21 views评论

阅读全文

代码审计

一次文件下载漏洞获取源代码审计

之前挖src，挖到一个网站存在文件下载漏洞，想通过文件下载获取源码，但历史命令一直没有管理员操作源码的命令。功夫不负有心人，经过一年不断得下载历史命令，终于成功下载到源码。漏洞点：一、文件下载漏洞在上...

06月07日27 views评论

阅读全文

代码审计

反序列化学习之路-Apache Commons Collections（CC3）

前言我们分析前两条链CC1和CC6时，都是利用invoke反射调用的Runtime().getRuntime().exec()来执行命令。而很多时候服务器的代码当中的黑名单会选择禁用RuntimeCC...

06月07日12 views评论

阅读全文

在线咨询

微信