代码审计 - 第 59 | CN-SEC 中文网

代码审计

Java Web常见框架寻找路由技巧

点击上方[蓝字]，关注我们免责声明本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号团队不为此承担任何责任。文章正文在Java ...

05月07日22 views评论

阅读全文

代码审计

代码审计-某产品高清智能录播系统漏洞分析附未公开POC

本文来自团队小伙伴:c3ting 博客地址 fofa： app="Ncast-产品" && title=="高清智能录播系统" 路由：如：manage-check_Login即对应访...

05月07日22 views评论

阅读全文

代码审计

反序列化基础

　在很多任务中，我们可能会需要把一些内容存储起来，以备后续利用。如果我们要存储的内容只是一条字符串或是数字，那么我们只需要把它写进文件就行。然而，如果我们需要存储的东西是一个dict、一个list，甚...

05月07日16 views评论

阅读全文

代码审计

代码审计-未授权访问漏洞

代码审计必备知识点：1、代码审计开始前准备：环境搭建使用，工具插件安装使用，掌握各种漏洞原理及利用,代码开发类知识点。2、代码审计前信息收集：审计目标的程序名，版本，当前环境(系统,中间件,脚本语言等...

05月07日52 views评论

阅读全文

代码审计

代码审计之某高校通用系统getRequsetURI函数的三次鉴权绕过

前言：放一篇星球里面的代码审计的漏洞案例，该系统为大量高校使用的一个系统。三次绕过。正文：如图所见，系统厂商采用的是利用过滤器的写法进行鉴权第一次的校验代码：即requestURI转为小写后，后缀只...

05月07日26 views评论

阅读全文

代码审计

AJ-Report代码执行漏洞分析

AJ-Report代码执行漏洞分析AJ-Report是全开源的一个BI平台，酷炫大屏展示，能随时随地掌控业务动态，让每个决策都有数据支撑DataSetParamController 中verifica...

05月07日30 views评论

阅读全文

代码审计

代码审计之浅谈RASP技术

前言：想摆会烂，所以就落个笔吧。其实本来是想写关于IAST技术的，但是认真思考了下，感觉笔者自己本身也不太能讲清楚IAST技术，怕误人子弟。所以最后还是基于笔者的理解以及实际应...

05月04日20 views评论

阅读全文

代码审计

代码审计之SAST自动化

前言:很久没写文章了，有点忙，落个笔，分享一些捣鼓或说适配好的一些好玩的东西。相关工具不开源，给一些思路，字有点多，希望耐心看完，希望能给大家带来一些收获。笔者能力有限，如有错误，欢迎斧正。正文：基...

05月01日25 views评论

阅读全文

代码审计

kkFileView文件上传导致远程代码执行漏洞

关注我们❤️，添加星标🌟，一起学安全！作者：niko@Timeline Sec 本文字数：1774 阅读时长：2～3min 声明：仅供学习参考使用，请勿用作违法用途，否则后果自负 0x01 简介 K...

04月30日64 views评论

阅读全文

代码审计

浅谈Novel-Plus和Likeshop任意文件上传漏洞复现过程

Novel-Plus漏洞介绍 Github地址:https://github.com/201206030/novel-plusCNVD地址：https://www.cnvd.org.cn/flaw/s...

04月30日61 views评论

阅读全文

代码审计

[代码审计] 某全新快递平台系统

请遵守法律法规，合法冲浪本文仅作知识分享用一切直接或间接由于本文所造成的后果与本人无关系统简介快递代发快递代寄寄件小程序可以对接易达云洋一级总代。快递小程序，接入云洋/易达物流接口，支持选择快递公司，...

04月28日35 views评论

阅读全文

代码审计

[代码审计] 某盗U/发卡系统不知道是几day

请遵守法律法规，合法冲浪本文仅作知识分享用一切直接或间接由于本文所造成的后果与本人无关系统简介2024最新UI发卡盗U/支持多语言/更新UI界面/支持多个主流钱包。由ThinkPHP5.0.24（fa...

04月28日188 views评论

阅读全文