安全开发 - 第 134 | CN-SEC 中文网

代码审计

Panalog日志代码审计（0Day）

0x00 前言看到挺多公众号都在发这一个系统，并且之前自己审计出来的一些漏洞也都相继爆出来了，今天我也来一个相关的审计流程。 0x01 鸡肋前台RCE漏洞涉及文件mailcious_down_fo...

02月18日86 views评论

阅读全文

安全开发

YakSSA和语法提示

本文作者Lingze，预计阅读时间4分钟前言距离上次和大家分享 SSA 相关的知识已经过去了许久，在这大概两个月的时间里，牛牛可是丝毫没有摸鱼！兢兢业业的完成几个大型 PR 后，在最近的更新的 v1....

02月18日16 views评论

阅读全文

安全开发

SDL实践之安全验证

在软件开发生命周期（SDLC）的测试或验证阶段，不同的企业因为团队或者业务模式的区别而选择不同的做法和设计，单一的安全验证流程并无法满足所有的测试场景或验证场景。比如，有的企业会有测试环境、预生产环境...

02月18日46 views评论

阅读全文

代码审计

代码审计思路经验谈

软件漏洞概述漏洞是指计算机系统安全方面的缺陷，使得系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。在软件安全方面，漏洞是软件中的特定缺陷，攻击者能够利用该弱点进行敏感信息更改和破坏，或者...

02月18日87 views评论

阅读全文

代码审计

服务器端模板注入（SSTI）hackmyvm之ephemera续篇

接着上一篇的ephemera靶机，今天更新提权部分，以及介绍一下服务器端模板注入（SSTI）phpinfo+文件包含临时文件getshell (qq.com)提权这次用Linpeas工具来信息收集，先...

02月18日15 views评论

阅读全文

代码审计

利用特殊反序列化组件攻击原生反序列化入口

免费&进群前言所谓特殊反序列化，就是指自实现了序列化/反序列化逻辑的组件，本文主要讨论以下三种FastJsonJackson（SpringBoot原生环境自带）ROME（其实并不是特殊反序列化...

02月18日18 views评论

阅读全文

安全开发

Jetbrains 全家桶激活码失效通知！附临时解决方案

最近上游的激活码还没有更新，所以很多粉丝遇到这个问题。这边也给出临时解决方法，就是利用现成的许可证服务器。 ok，激活成功关于临时的许可证服务器，可以公众号回复 "许可证" 进行获取，目前还没有实...

02月18日235 views评论

阅读全文

代码审计

Shiro反序列化相关

原理获取Cookie中rememberMe的值 · 对rememberMe进行Base64解码 · 使用AES进行解密 · 对解密的值进行反序列化这样的话攻击者就可以通...

02月18日26 views评论

阅读全文

代码审计

某开源oa审计

0x00 前言这OA界面长这样. 这套系统洞很多.源码下载:https://down.chinaz.com/soft/43101.htm0x01 前台任意文件写入在/uploadbase64.php ...

02月18日25 views评论

阅读全文

代码审计

【代码审计】某系统反序列化漏洞复现及分析

某Clound系统公开并修复了很多反序列化漏洞，大多反序列点是直接对用户输入的序列化数据执行反序列化操作，并结合系统中存在的反序列利用链，攻击者可以进行命令执行。本次的起因是通过公开的漏洞路径复现时，...

02月18日36 views评论

阅读全文

安全开发

G.O.S.S.I.P 阅读推荐 2024-02-17 天文学博士和电脑黑客的猫鼠游戏

记得在2011年第一次读到《连线》杂志（WIRED）上发表的这篇文章（下图，可在 https://www.wired.com/2011/07/how-digital-detectives-deciph...

02月18日38 views评论

阅读全文

代码审计

java反序列化

java反序列化 CC1 入口是Transformer接口的transform方法 transform方法被21个类实现了，入口类是InvokerTransformer InvokerTransfor...

02月17日17 views评论

阅读全文

Panalog日志代码审计（0Day）

YakSSA和语法提示

SDL实践之安全验证

代码审计思路经验谈

服务器端模板注入（SSTI）hackmyvm之ephemera续篇

利用特殊反序列化组件攻击原生反序列化入口

Jetbrains 全家桶激活码失效通知！附临时解决方案

Shiro反序列化相关

某开源oa审计

【代码审计】某系统反序列化漏洞复现及分析

G.O.S.S.I.P 阅读推荐 2024-02-17 天文学博士和电脑黑客的猫鼠游戏

java反序列化

在线咨询

微信