代码审计 - 第 58 | CN-SEC 中文网

代码审计

JAVA代码审计：深入分析Java中TemplatesImpl类加载动态字节码的过程

点击蓝字关注我们（本文由小貂快跑代发，原作者为“IntSheep”）00前言Java代码审计的学习过程中离不开TemplatesImpl这个类。如果你恰好跟着P牛的《Java安全漫谈》学习代码审计的...

05月15日21 views评论

阅读全文

代码审计

【逃离计划】shiro反序列化漏洞的原理

Apache ShiroApache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移...

05月14日12 views评论

阅读全文

代码审计

JAVA代码审计篇（一）

前言你不必成为一个无所不能的英雄人物。免责声明:本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关。注意：本免责声明旨在明确指出，本...

05月14日15 views评论

阅读全文

代码审计

0基础入门代码审计-8 命令执行

0x01 漏洞描述命令执行是系统使用了可以执行命令的危险函数，但是调用这些函数的参数可控，并没有做过滤或过滤不严格，使攻击者可以通过构造特殊命令字符串的方式将数据提交至Web应用程序中，并利用该方式执...

05月14日26 views评论

阅读全文

代码审计初级项目示例

今天文章前面是讲几个代码审计初级项目审计示例，最后一部分是代码审计实际的工作内容。最近审计的项目都是按照下面步骤来的，因为项目规模较小。中等规模以上的项目就需要再增加一些步骤了。审计大致思路：1.了解...

05月14日代码审计37 views评论

阅读全文

代码审计

代码审计-eyoucms审出多个漏洞过程

环境搭建：代码审计： 1.命令执行漏洞: 通过路由找到对应代码这里需要传入三个参数，而最后的content则是我们需要填写的内容，在代码93行处存在过滤发现对content的内容进...

05月14日45 views评论

阅读全文

代码审计

SpringBoot审计基础知识

免责声明道一安全（本公众号）的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入...

05月14日15 views评论

阅读全文

代码审计

JAVA安全-FastJson1.2.24反序列化漏洞分析

点击上方蓝字·关注我们免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号菜狗安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵...

05月13日20 views评论

阅读全文

代码审计

手把手教你搭建Weblogic调试环境

无论是漏洞挖掘还是漏洞复现，最让人痛苦的一件事莫过于搭建环境。特别是一些大型应用的调试环境搭建，可谓又复杂又难搞，而且几乎很难找到现成成体系的资料。为了避免大家在漏洞挖掘或者复现过程中浪费时间去自行搜...

05月13日85 views评论

阅读全文

代码审计

FastJson1.68&1.80版本反序列化利用

前言FastJson在1.2.25版本以后默认关闭了autoTypeSupport。所有反序列化的类以下任意条件可以成功反序列化:在白名单中。关键字为:internalWhite，白名单参考0x05其...

05月13日28 views评论

阅读全文

代码审计

JAVA反序列化—CC链的前世今生

更多全球网络安全资讯尽在邑安全前言JAVA安全初级入门者，学习一下CC链加强代码审计能力。开始之前，先简单引入一些概念知识。什么是CommonsCollections，这里引用一段话进行解释Commo...

05月13日13 views评论

阅读全文

代码审计

log4j2远程代码执行漏洞原理

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！log4j2漏洞原理？CVE-2021-44228，简称：log4j2，利用漏洞可以执行任意命令。该漏洞影响所有 log4j2 受影响的版本，...

05月13日32 views评论

阅读全文

在线咨询

微信