代码审计 - 第 96 | CN-SEC 中文网

代码审计

【Java框架审计】Shiro框架550反序列化漏洞分析

本文章视频讲解链接：https://www.bilibili.com/video/BV1Vu4y1o7Qi/?spm_id_from=333.999.0.0&vd_source=16d23ba...

06月11日24 views评论

阅读全文

代码审计

【高危】 Apache Kafka 远程代码执行漏洞复现及攻击拦截 (CVE-2023-25194)

漏洞简介 Apache Kafka是一个分布式数据流处理平台，可以实时发布、订阅、存储和处理数据流。Kafka Connect是一种用于在kafka和其他系统之间可扩展、可靠的流式传输数据的工具。攻击...

06月10日74 views评论

阅读全文

代码审计

Java反序列化漏洞研究前序: Transformer、动态代理与注解

扫码领资料获网安教程免费&进群2022-01-30今年给自己定了一个研究清楚Java反序列化漏洞的KPI，反序列化漏洞本身原理并不复杂，但是网上的资料都不甚满意，大部分都是只是知道怎么用别人的...

06月05日16 views评论

阅读全文

代码审计

安全工具 fscan 源码分析

fscan源码学习免责声明：本公众号所提供的文字和信息仅供学习和研究使用，不得用于任何非法用途。我们强烈谴责任何非法活动，并严格遵守法律法规。读者应该自觉遵守法律法规，不得利用本公众号所提供的信息从...

06月03日105 views评论

阅读全文

代码审计

九维团队-绿队（改进）| java 反射机制（下）

阅读该文章上半部分请点击九维团队-绿队（改进）| java 反射机制（上）。六、获取继承关系获取父类 class 和 interface import java.util.Arrays; publ...

06月02日37 views评论

阅读全文

代码审计

nacos漏洞(CNVD-2023674205)复现&踩坑记录

3月2日，CNVD披露了编号为CNVD-2023674205的nacos认证绕过漏洞在nacos官方github项目(https://github.com/alibaba/nacos)发布2.2.0....

06月01日114 views评论

阅读全文

代码审计

【A9】Fastjson反序列化漏洞原理

“A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践。”...

06月01日48 views评论

阅读全文

php代码审计方法论

一.分类1. 未授权访问2. 逻辑漏洞，主要存在交互的地方的功能函数上。3. 潜在简单：SQL注入，SSRF，XSS，任意文件读取，文件包含，任意文件下载，文件删除，RCE，远程命令执行，反序列化4....

06月01日代码审计51 views评论

阅读全文

代码审计

从Rome看二次反序列化

点击蓝字关注我们ROMEROME是一组Atom/RSS工具类，它用Java来操作大部份RSS。ROME可能是目前最完善的开源聚合工具，ROME支持绝大多数的RSS协议。依赖<dependency...

05月31日36 views评论

阅读全文

代码审计

【Java框架审计】Struts2框架S2-045漏洞分析

1、环境搭建（1）打开EMSystemDO项目，设置Modules的web.xml文件路径，默认web路径为webcontent（2）创建Department为EMSystemDO的war，设置Lib...

05月31日114 views评论

阅读全文

代码审计

PHP代码审计之vscode+phpstudy+xdebug动态调试

一、环境配置1. 使用工具集成环境工具——phpstudy代码审计及动态调试——vscode2. 使用测试源码——基于ThinkPHP开发的DSCMS v3.03. 语言环境php 7.2及以上，否则...

05月31日118 views评论

阅读全文

代码审计

某X CMS任意文件上传、删除、XSS漏洞挖掘

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！死学没用，劳逸结合，玩累了再学。不经过任何过滤，张口就来，反射XSS<?php if ($_GET['art']): ?><...

05月31日37 views评论

阅读全文

在线咨询

微信