引 言 为了对抗网络攻击,软件安全数据库记录了软件弱点、漏洞和攻击之间的关系,以提供适当的防御策略。数据库是不断更新的,攻击者可以利用时间延迟来实现...
fastjson中JDBC链回显
很久没有更新了,把之前一直想去完成的Todo去做了。0x01 背景fastjson的JDBC(com.mysql.jdbc.JDBC4Connection),之前遇到过一次,但是没有弄出来回显的,仅仅...
文库 | 熊海cms代码审计
高质量的安全文章,安全offer面试经验分享 尽在 # 掌控安全EDU # 作者:掌控安全-杰斯 熊海CMS 1.介绍 熊海是⼀款⼩型的内容管理系统,1.0版本是多年前的版本了,所以漏洞还是⽐较多的,...
万户OA fileUpload.controller 任意文件上传漏洞
0x01 阅读须知融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统...
浅谈硬编码密码及其扫描工具
// 文丨乔丹 美团安全研究员,硕士毕业于复旦大学,目前在美团致力于云原生安全建设。密码是对服务、系统和数据的访问权限进行授权的数字身份凭证,常见的密码有API密钥、非对称私钥、访...
悟空crm漏洞新用
概述悟空软件长期为企业提供企业管理软件(CRM/HRM/OA/ERP等)的研发、实施、营销、咨询、培训、服务于一体的信息化服务。悟空软件以高科技为起点,以技术为核心、以完善的售后服务为后盾,秉承稳固与...
干货 | Python_SSTI模块注入
点击蓝字关注我们温馨提示:本文篇幅较长,推荐关注后收藏根据目录多次观看一、python_SSTI 模板注入介绍ssti 漏洞成因模板引擎什么是服务端模板注入flask 环境本地搭建 (略详)route...
某CMS1.7版本 另一处前台SQL注入
本文仅用于技术讨论与研究,文中的实现方法切勿应用在任何违法场景。如因涉嫌违法造成的一切不良影响,本文作者概不负责。0x00 漏洞描述复现了 CNVD-2021-26000 之后,搜索了一下极致 cms...
bluecmsPHP代码审计(自学)
##0x00 前言大家好,我是小軍,在此,我做一个简单的代码审计思路学习这次审计的目标是bluecms这次我将选择用这个cms案例分析## 0x01 环境搭建Phpstudy 2018Bluecms ...
案例分享 | .NET代码审计之任意文件读取(2)
1. 文件下载文件下载也算是另一种文件读取的方式,在.NET里代码审计时需关注以下关键特征Response.ContentType = "application/octet-str...
Laravel三处全版本RCE链分析
0x00 漏洞环境https://github.com/N0puple/php-unserialize-lib进入对应的文件夹执行如下命令启动环境:docker-compose up -d访问 htt...
代码审计集合-3
CSCMS代码审计前言今天逛补天社区的时候看到了一篇CSCMS代码审计的文章,于是自己也下了一个CSCMS来练练手。我目前挖的有以下漏洞。SQL注入任意文件删除任意文件上传后台phar反序列化CMS分...
125