代码审计 - 第 65 | CN-SEC 中文网

代码审计

Commons Collections1链分析与学习

前言两个月前就学了CC链子，当时虽然看懂了大概是个什么流程，但感有些囫囵吞枣，算不上真正学会，也没有记录学习，因此我觉得还是很有必要再学习，温习的。如果你也是想复习一番，可以看看，当然如果你想从环境搭...

03月25日26 views评论

阅读全文

Java基础之JNDI

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，禁止私自转载，如需转载，请联系作者！！！！请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果...

03月25日代码审计12 views评论

阅读全文

代码审计

CommonCollections1链简单分析

CommonsCollections1简称CC1链，ApacheCommons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库，它提供了很多强有力的数据结构...

03月25日13 views评论

阅读全文

代码审计

Python反序列化漏洞(入门)

python反序列化漏洞前置知识漏洞原理代码中进行了反序列化操作，反序列化魔术方法可以被触发，且反序列化的参数可控函数使用：pickle.dump(obj, file) : 将对象序列化后保存到文件p...

03月24日23 views评论

阅读全文

代码审计

某多语言货币交易市场审计

0x00 前言在网上看到一套交易市场的源码，废了很大的劲终于下载下来.看了一眼发现是Thinkphp 3.2.3框架且目录貌似设错了(没放到Public目录)，导致网站文件都可以直接被访问到. 后...

03月23日16 views评论

阅读全文

代码审计

java反序列化漏洞(入门)

java序列化和反序列化的概念：序列化：把Java对象转换为字节流的过程。反序列化：把字节流恢复为Java对象的过程。对象的序列化主要有两种用途：把对象的字节序列永久地保存到硬盘上，通常存放在一个文件...

03月23日35 views评论

阅读全文

代码审计

PHP反序列化漏洞(入门二)-魔术方法+原生类

魔术方法利用点分析演示：触发：unserialize函数的变量可控，文件中存在可利用的类，类中有魔术方法。魔术方法：__construct()://构造函数，当对象new的时候会自动调用__destr...

03月22日35 views评论

阅读全文

代码审计

PHP反序列化漏洞(入门1)

漏洞产生原理没有对用户输入的序列化字符串做检测，导致攻击者可以控制反序列化过程。序列化（serialize()）//将一个对象转换成一个字符串反序列化（unserialize()）//将字符串还原成一...

03月22日32 views评论

阅读全文

代码审计

[0Day]-FLIR-FLIR-AX8系统代码审计

免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号狐狸说安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会...

03月20日23 views评论

阅读全文

代码审计

CSRF-代码审计+检测绕过

csrf漏洞-黑白盒判断CSRF安全问题黑盒怎么判断：1、看有没有验证来源2、看凭据有没有token3、看关键操作有没有验证修复：把上述三点变成有即可CSRF安全问题白盒怎么审计：同黑盒思路一样，代码...

03月19日28 views评论

阅读全文

代码审计

PHP SQL快速审计思路

文章来源：朋友写的，拿来PHP挖SQL的话还是可以，最近也和他一直在整一些事情，整理内部知识库，搭建内部平台，这个后面再说。先看文章吧前言：在我看来，代码审计只需要关注两个点。一个是可控的输入，另一个...

03月19日61 views评论

阅读全文

代码审计

FEOA代码审计-前台任意文件上传

前言本篇文章主要内容为，从代码层面学习分析FEOA前台文件上传漏洞。FOFA指纹：app="FE-协作平台"影响版本：<7.0漏洞验证访问路由/servlet/uploadAttachmentS...

03月19日49 views评论

阅读全文

Commons Collections1链分析与学习

Java基础之JNDI

CommonCollections1链简单分析

Python反序列化漏洞(入门)

某多语言货币交易市场审计

java反序列化漏洞(入门)

PHP反序列化漏洞(入门二)-魔术方法+原生类

PHP反序列化漏洞(入门1)

[0Day]-FLIR-FLIR-AX8系统代码审计

CSRF-代码审计+检测绕过

PHP SQL快速审计思路

FEOA代码审计-前台任意文件上传

在线咨询

微信