安全开发 - 第 146 | CN-SEC 中文网

代码审计

二次反序列化学习（一）

为了更好找到银行驻场，学习二次反序列化。SignedObject0x01 SignedObject分析比较简单。可以序列化，field可控。太完美了，早入行几年就好了。java/security/Si...

01月19日25 views评论

阅读全文

安全开发

golang 实现漏洞监控02——github 历史漏洞信息爬取

整体功能从 github 的相关 API 接口搜索关键字 CVE-{YEAR}，并且按照 best-match 进行排序，获取每年的 CVE 中前 1000 个，再进行判活，去重等等筛选，最终存入数据...

01月19日20 views评论

阅读全文

代码审计

Java Web代码审计实战之某RB AC系统，非常适合小白入门练习的系统

前言：【如需转载，请详细表明来源，请勿设置原创】嗨，朋友你好，我是闪石星曜CyberSecurity创始人Power7089。今天为大家带来的是【炼石计划@Java代码审计】Java代码审计实战阶段文...

01月18日82 views评论

阅读全文

安全开发

Python 项目管理终结解决方案

人性的背后是白云苍狗，愿你我都是生活的高手。💢💢‍前言🔫 在学习使用 python 的过程中，会遇到诸如创建、使用、部署、测试 python 项目，不可避免的会遇到各种环境，依赖，版本兼容等等各种问题...

01月17日123 views评论

阅读全文

代码审计

云网OA最新版 FastJson RCE

下载地址:https://gitee.com/bestfeng/yimioa?_from=gitee_search安装的话参考他的官网就行了。里面有详细的安装步骤。项目中使用到的是fastjson1....

01月17日169 views评论

阅读全文

代码审计

Java代码审计初试

免杀是同所有的检测手段的对抗，目前免杀的思路比较多。本篇介绍了一个独特的思路，通过内存解密恶意代码执行，解决了内存中恶意代码特征的检测。同时提出了one click来反沙箱的思路，阐述了一些混淆反编译...

01月16日34 views评论

阅读全文

代码审计

代码审计之某CMS利用存储型xss登录后台GetShell

代码审计之某CMS利用存储型xss登录后台GetShell 前言：本文中涉及到的相关技术或工具仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担，如有侵权请联系。由于微信公众号推送...

01月16日40 views评论

阅读全文

安全开发

[tiny-http-server] 一条命令启动HTTP Server

需求分析原生 Python的 http.server 在如今各种资产测绘爬虫盛行的时代显得非常不安全，容易泄漏隐私，那么这一款tiny-http-server轻便且有身份验证的HTTP Serv...

01月16日43 views评论

阅读全文

代码审计

某cmsv9.6.3之后台几处漏洞分析

后台GETSHELL首先全局搜一下调用include或者require的地方跟进到if (@file_put_contents($filepath,$str)) { ob_start(); inclu...

01月16日36 views评论

阅读全文

代码审计

【PHP代码审计】站点中的Phar反序列化漏洞

Unserialize函数的使用很少见，而Session反序列化可控条件又比较苛刻。这次就和大家分享最后一种Phar伪协议反序列化漏洞案例作为学习，祝师傅们以后审计时多多出洞。前言 PHP反序列化漏...

01月16日58 views评论

阅读全文

代码审计

代码审计-SQL注入类+文件对比技术

代码审计必备知识点：1、代码审计开始前准备：环境搭建使用，工具插件安装使用，掌握各种漏洞原理及利用,代码开发类知识点。2、代码审计前信息收集：审计目标的程序名，版本，当前环境(系统,中间件,脚本语言等...

01月15日23 views评论

阅读全文

安全开发

rustpython:将python代码封装到rust编译器运行

简介RustPython/RustPython: A Python Interpreter written in Rust (github.com)用户指南：https://rustpython.gi...

01月15日86 views评论

阅读全文

在线咨询

微信