代码审计 - 第 70 | CN-SEC 中文网

代码审计

【代码审计】某系统反序列化漏洞复现及分析

某Clound系统公开并修复了很多反序列化漏洞，大多反序列点是直接对用户输入的序列化数据执行反序列化操作，并结合系统中存在的反序列利用链，攻击者可以进行命令执行。本次的起因是通过公开的漏洞路径复现时，...

02月18日36 views评论

阅读全文

代码审计

java反序列化

java反序列化 CC1 入口是Transformer接口的transform方法 transform方法被21个类实现了，入口类是InvokerTransformer InvokerTransfor...

02月17日17 views评论

阅读全文

代码审计

代码审计实战与思路分享

原文始发于微信公众号（红队蓝军）：代码审计实战与思路分享

02月17日27 views评论

阅读全文

代码审计

某开源OA系统的审计记录

对某开源OA参数过滤情况下的审计过程记录某OA系统的审计记录 0x00 前言对某开源OA参数过滤情况下的审计过程记录， 0x01 路由该cms主要是通过m、a、d来确定默认是的webadmin...

02月17日20 views评论

阅读全文

代码审计

九维团队-绿队（改进）| Java Spring编码安全系列之SQL注入

·前言·Java Spring是目前企业开发中使用较多的一种java开发框架，因此，基于该框架的安全内容尤为重要。Secure Code Warrior编码实验室的Java Spring涉及到的安全问...

02月16日15 views评论

阅读全文

代码审计

【Fastjson】- 初识Fastjson-1.2.24反序列化漏洞

前言本地环境搭建Fastjson 使用将对象序列化为json字符串将json字符串反序列化为对象反序列化漏洞成因及利用链漏洞成因 TemplatesImpl 反序列化链 ...

02月16日14 views评论

阅读全文

反序列化杂记

概念简而言之，序列化是把对象转化成字节码，反序列化则是将字节码恢复为对象。序列化需要使用到ObjcetOutputStream类的writeObeject函数，可以ObjectOutputStream...

02月16日代码审计25 views评论

阅读全文

代码审计

Java安全攻防之ActiveMQ从Broker到Consumer

前言上周ActiveMQ的漏洞利用已经有了多篇文章分析了，比较麻烦的在于公开的文章都是通过修改activemq代码实现的漏洞利用。所以我们也分析了这个漏洞，希望能够写出更加简单的exploit。漏洞分...

02月16日27 views评论

阅读全文

代码审计

010-实战Java篇-颇为简单的一次审计getshell

010-实战Java篇-颇为简单的一次审计getshell文章前言年少而不可得之人，终会困我一生本文记录的是：在一次授权渗透测试中从信息收集、源码审计到利用SQL注入、XXE、文件上传最终getshe...

02月15日47 views评论

阅读全文

代码审计

java-SQL注入(java sec code)

sql注入在常见的网络应用漏洞中，SQL注入漏洞较为常见，危害大。攻击者一旦利用系统中存在的SQL注入漏洞来发起攻击，在条件允许的情况下，不仅可以获取整站数据，还可通过进一步的渗透来获取服务器权限...

02月15日20 views评论

阅读全文

代码审计

零基础搭建java靶场

java代码靶场环境从零开始学习java 代码审计那么就需要找到一个很好的靶场，那么这个靶场就是java sec code 首先如果没有学过java 或者是java 环境搭建的人来说，搭建一个j...

02月15日70 views评论

阅读全文

代码审计

shiro反序列化漏洞原理分析以及漏洞复现

扫码领资料获网安教程免费&进群Shiro-550反序列化漏洞（CVE-2016-4437）漏洞简介shiro-550主要是由shiro的rememberMe内容反序列化导致的命令执行漏洞，造成...

02月15日37 views评论

阅读全文

在线咨询

微信