安全开发 - 第 12 | CN-SEC 中文网

安全开发

java运行时应用自保护RASP技术浅析

一概念介绍RASP，全称Runtime application self-protection技术，也就是运行时应用的自我保护，这种保护技术主要体现在以探针的方式存在于代码中，与应用服务融为一体，对底...

03月17日27 views评论

阅读全文

代码审计

某cms的漏洞分析

漏洞描述该漏洞源于Appcenter.php存在限制，但攻击者仍然可以通过绕过这些限制并以某种方式编写代码，使得经过身份验证的攻击者可以利用该漏洞执行任意命令漏洞分析绕过编辑模板限制，从而实现RCE这...

03月16日6 views评论

阅读全文

安全开发

网络安全之前端学习（HTML篇）

前言：网络安全中有一个漏洞叫xss漏洞，就是利用网页引发弹窗，这就要求我们看得懂源码，所以我会持续更新前端学习，可以不精通，但是一定要会，主要掌握HTML，css，js这三项技术，今天就讲讲HTML入...

03月16日5 views评论

阅读全文

安全开发

六个小时完成编写 EDR (Endpoint Detection and Response)

用cursor+Go语言编写的轻量级EDR（终端检测与响应）系统，用于监控和保护计算机系统免受恶意软件和高级威胁的侵害。功能特点核心功能进程监控实时监控系统进程的创建和终止收集进程信息（PID、名称、...

03月16日13 views评论

阅读全文

安全开发

SDL序列课程-第37篇-安全需求-登录注册需求-安全控件在登录页面的应用

欢迎转发给有需要的人，微信公众号名称：软件开发安全生命周期。定期分享软件开发生命周期,SDLC、SDL、DevSecOps等相关的知识。致力于分享知识、同时会分享网络安全相关的知识点和技能点。1. 网...

03月16日5 views评论

阅读全文

安全开发

静态代码检查为啥要编译？揭秘代码体检背后的隐藏关卡！

你以为静态代码检查就是“看代码找错”？虽然静态代码检查是一种静态应用程序安全测试技术（SAST），且通常是在代码编译之前进行，但依赖于编译的静态代码检查更像给代码做“深度CT扫描”——必须拆解代码结构...

03月16日20 views评论

阅读全文

代码审计

JAVA代码审计之权限绕过

声明：本文仅用于网络安全相关知识分享，环境为本机靶场，请严格遵守网络安全相关法律法规。未经授权利用本文相关技术从事违法活动的，一切后果由违法人自行承担！Jie安全公众号及作者不承担任何法律责任。1、g...

03月16日14 views评论

阅读全文

代码审计之文件上传

介绍本篇为代码审计系列的第七篇《代码审计之文件上传》，预计本系列为30篇左右。对于文件上传功能，如果后端没有对上传的文件做过滤和校验，则会导致可上传任意文件到服务器，如果后端根据文件名去拼接一个路径，...

03月15日代码审计12 views评论

阅读全文

安全开发

魔改冰蝎4.1免杀过360，df，河马

最近没事，想着之前上传webshell有杀毒总是拿别人的免杀马用，感觉以后也要用，然后接着不是hvv面试什么,冰蝎哥斯拉流量特征,所有我决定魔改一下顺便把流量特征给大家说一下一.是改流量特征魔改1.a...

03月15日17 views评论

阅读全文

安全开发

一统Web指纹江湖和P1finger在线指纹识别平台

曾经，我有个偏见，认为指纹越少越好，只要足够精准就行。后来，我更觉得确实应该如此，只是过程需要时间打磨前言P1finger工具发布之初对它的定位是红队行动下的重点资产识别工具，所以保留的指纹只有一些O...

03月14日20 views评论

阅读全文

安全开发

Kafka-一图读懂集群整体结构&基础客户端API实战

1、Kafka集群整体结构简单介绍图中关系：(1) Topic只是一个逻辑概念，Producer和Consumer通过Topic进行业务沟通。(2) Topic并不存储数据，Topic下的数据分为多...

03月14日4 views已关闭评论

阅读全文

代码审计

审计分析 | 彩虹易支付系统及绕过360检测小技巧

环境搭建链接: https://pan.baidu.com/s/1e5D4wWydTuv90s98nRd1Wg?pwd=ege5 提取码: ege5 访问 /install一步步安装即可后台sql注入...

03月13日22 views已关闭评论

阅读全文

在线咨询

微信