代码审计 - 第 73 | CN-SEC 中文网

代码审计

Fastjson反序列化漏洞原理与漏洞复现

漏洞原理1.啥是json?json全称是JavaScript object notation。即JavaScript对象标记法，使用键值对进行信息的存储。举个简单的例子如下：{ "name":"Bos...

02月05日27 views评论

阅读全文

代码审计

深入学习Java代码审计技巧—详细剖析某erp漏洞

简介对于Java代码审计，主要的审计步骤如下：确定项目技术框架、项目结构环境搭建配置文件的分析：如pom.xml、web.xml等，特别是pom.xml，可以从组件中寻找漏洞Filter分析：Filt...

02月04日26 views评论

阅读全文

代码审计

jsweb-判断js+js代码审计

什么是JS渗透测试？在Javascript中也存在变量和函数，当存在可控变量及函数调用即可产生漏洞JS开发的WEB应用和PHP，JAVA，NET等区别在于即便没有源代码，也可以通过浏览器的查看源代码获...

02月04日22 views评论

阅读全文

代码审计

JAVA代码审计-任意文件上传漏洞(配套视频)

JAVA代码审计-任意文件上传漏洞欢迎参加我们的Java代码审计课程！本课程旨在培养学员深入了解和实践Java应用程序安全性的技能，通过系统学习和实际案例分析，使学员能够识别并纠正潜在的安全漏洞。前期...

02月04日33 views评论

阅读全文

代码审计

JAVA代码审计-任意文件下载漏洞(配套视频)

JAVA代码审计-任意文件下载漏洞欢迎参加我们的Java代码审计课程！本课程旨在培养学员深入了解和实践Java应用程序安全性的技能，通过系统学习和实际案例分析，使学员能够识别并纠正潜在的安全漏洞。前期...

02月04日58 views评论

阅读全文

代码审计

代码审计-CVE-2023-6654-PHPEMS-加密-解密分析

本文来自团队小伙伴:c3ting 博客地址 https://c3ting.com 正文：路由：入口方法：鉴权分析：由此可以得出鉴权是由session类负责获取参数后，由各个类的魔术方法负责：...

02月03日63 views评论

阅读全文

代码审计

代码安全审计经验集（下）

对HTTP加密请求参数的测试对于HTTP请求体加密，如果直接使用明文的请求参数，是无法进行正常的安全测试的。但通常还是有办法分析出加解密的策略，如果能把加解密算法还原，就可以先将安全测试的payloa...

02月02日30 views评论

阅读全文

代码审计

某OA的代码审计

某次渗透中，在短期内没有发现突破口，随后决定把重心放在目标的OA系统上，因为前期经过信息搜集，已经知道了该OA的框架，而且此系统是开源的。即使尝试了之前的Nday，发现有价值的漏洞都修复了，但是只要能...

02月01日28 views评论

阅读全文

代码审计

.NET ORM 注入审计-FreeSql中直接使用 SQL 片段的问题

.NET ORM 注入审计-FreeSql中直接使用 SQL 片段的问题采用项目 ASP.NET Core Web Application 模板创建项目的demo搞定。环境OK了。看看注入的地方。O...

02月01日29 views评论

阅读全文

代码审计

百家CMS v4.1.4代码审计

环境搭建源码下载：https://gitee.com/openbaijia/baijiacms.git放入PHPstudy，建一个baijiacms的数据库，访问进行安装，设置管理员用户和密码为adm...

01月29日39 views评论

阅读全文

代码审计

1day | 万户OA系统审计

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，小黑说安全及文章作者不为此承担任何责任。0x01 漏洞分析打开整...

01月29日141 views评论

阅读全文

代码审计

代码安全审计经验集（上）

通过fuzz方式绕WAF在目标系统发现一处SQL注入漏洞，但前置了一个某大厂的WAF，通常的套路是内联注释、编码、参数污染、分块传输等等，但方法都尝试了一遍之后，还是突破不了WAF。最后，绕过的技巧是...

01月28日48 views评论

阅读全文

Fastjson反序列化漏洞原理与漏洞复现

深入学习Java代码审计技巧—详细剖析某erp漏洞

jsweb-判断js+js代码审计

JAVA代码审计-任意文件上传漏洞(配套视频)

JAVA代码审计-任意文件下载漏洞(配套视频)

代码审计-CVE-2023-6654-PHPEMS-加密-解密分析

代码安全审计经验集（下）

某OA的代码审计

.NET ORM 注入审计-FreeSql中直接使用 SQL 片段的问题

百家CMS v4.1.4代码审计

1day | 万户OA系统审计

代码安全审计经验集（上）

在线咨询

微信