代码审计 - 第 97 | CN-SEC 中文网

代码审计

某X CMS任意文件上传、删除、XSS漏洞挖掘

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！死学没用，劳逸结合，玩累了再学。不经过任何过滤，张口就来，反射XSS<?php if ($_GET['art']): ?><...

05月31日37 views评论

阅读全文

代码审计

.NET反序列化链TypeConfuseDelegate-详解SortedSet (上)

星球优惠活动为了更好地应对基于.NET技术栈的风险识别和未知威胁，dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术，定位于高质量安全攻防星球社区，也得到了许多师傅们的支持和信任，...

05月30日44 views评论

阅读全文

代码审计

Java安全-Groovy

简述Groovy是Apache 旗下的一种基于JVM的面向对象编程语言，既可以用于面向对象编程，也可以用作纯粹的脚本语言。在语言的设计上它吸纳了Python、Ruby 和 Smalltalk 语言的优...

05月30日76 views评论

阅读全文

代码审计

记一次实战代码审计

记一次实战代码审计某次地级HW过程中遇见的一套系统，其开发语言为Java，通过其同类型系统成功扫到了其备份文件，故有了以下的代码审计过程记录后台任意文件读取通过全局搜索File ``downloa...

05月29日47 views评论

阅读全文

代码审计

若依CMS代码审计

1.安装安装过程 ruoyi-adminsrcmainresourcesapplication-druid.yml配置数据库等信息2.审计过程 2.1 文件下载漏洞(v4.7.6)在com.ruoy...

05月29日216 views评论

阅读全文

代码审计

zzcms审计-另类的漏洞

扫码领资料获网安教程免费&进群本文由掌控安全学院-乐伟超投稿一、版本及官网概述ZZCMS是专门帮助企业建立招商系统的一个CMS，此次出现问题的是ZZCMS201910和...

05月29日44 views评论

阅读全文

代码审计

CVE-2023-2928-DedeCMS存在文件包含漏洞导致后台getshell【漏洞复现】

声明：该公众号分享的安全工具、漏洞复现和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。CVE-2023-2928-DedeCMS存...

05月29日347 views评论

阅读全文

代码审计

Java反序列化漏洞基础知识 | 干货

基础知识 java序列化把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中，ObjectOutputStream类的 writeObject() 方法可以实现序列化。java反序列化...

05月27日41 views评论

阅读全文

代码审计

一个隐藏在Go语言标准库中的目录穿越漏洞 CVE-2022-29804

前言一天，我看完了番剧后，闲着无聊审计了一下我用来做内网共享的小工具——"Go HTTP File Server"。这是一个文件服务器,可以快速搭建http服务器共享文件. 启动的默认路径为当前路...

05月25日27 views评论

阅读全文

代码审计

【java安全】从0到1--第4章

点击蓝字关注我们微信搜一搜暗魂攻防实验室知识点1、JavaEE-反序列化-解释&使用&安全2、JavaEE-安全-利用链&直接重写方法3、JavaEE-安全-利用链&外...

05月25日37 views评论

阅读全文

代码审计

com组件的从0-1

前言本文是作者从0到1学习com的一个过程，记录了从初识com到com的武器化利用以及挖掘。com组件博大精深，无论是从开发的角度还是安全的角度都非常值得研究，本文仅作入门贴。基础知识对于com...

05月25日24 views评论

阅读全文

从 CVE 学 Shiro 安全

本文首发在梅子酒师傅的知识星球《胡言乱语》，感谢师傅邀请为嘉宾。进一步排版、修改之后会发在 NoSec 平台及相关公众号中。当然，校准后的文章和测试代码会更新至 JavaSec 中。前言本文继续...

05月25日安全博客57 views评论

阅读全文

在线咨询

微信