安全开发 - 第 151 | CN-SEC 中文网

安全开发

反序列化基础之反射机制

最近在学其他东西，就把之前总结的笔记发出来吧供大家参考！！！Java反射机制java反射机制的引入为什么要存在反射机制？如果没有反射机制那么Java这门语言就不会动态化，也就不会有所谓的Spring...

01月04日15 views评论

阅读全文

代码审计

实战 | 通过代码审计完成的渗透

前言这是一次针对某高校的授权安全测试，只给了目标学校的名字，所有资产自行收集。信息收集无非老三样，百度、子域名、C端。通过百度，我们找到了目标学校的域名example.edu.cn，首先使用百度...

01月03日33 views评论

阅读全文

代码审计

CVE-2023-50164 Apache Struts RCE 分析

基本信息由于 Struts 框架在处理参数名称大小写方面的不一致性，导致未经身份验证的远程攻击者能够通过修改参数名称的大小写来利用目录遍历技术上传恶意文件到服务器的非预期位置，最终导致代码执行。影响版...

01月03日55 views评论

阅读全文

代码审计

记一次简单代码审计实战

一、前言：在一次逛公众号的时候发现有师傅发了一个设备rce的漏洞，payload挺简单的在，直接拼接了命令；出于好奇复现了一下，资产还挺多的，复现成功后又好奇的连了上去；看了下后台代码，功能代码写的挺...

01月03日42 views评论

阅读全文

安全开发

五个技巧改善开发与安全的对立关系

采用这些最佳实践，摒弃被动的软件开发方法，构建高效的工作环境。协作可以将安全变成一个共同的目标，而不是瓶颈。在不断发展的软件开发领域，开发人员和安全团队之间的交互至关重要，安全分析师通常依靠开发人员来...

01月03日33 views评论

阅读全文

代码审计

FreeMarker入门到简要分析模版注入

FreeMarker简介FreeMarker 是一款模板引擎：即一种基于模板和要改变的数据，并用来生成输出文本(HTML网页，电子邮件，配置文件，源代码等)的通用工具。它不是面向最终用户的，而是一...

01月03日40 views评论

阅读全文

安全开发

深入探讨GPTs和AI Assistant

作者：donxGPTs全景解析GPTs 是什么GPTs 是 OpenAI 在2023年11月发布的新版本，具有可定制性和完成特定任务的强大功能。它提供了一种新的方式来使用ChatGPT，可以让用户根据...

01月02日79 views评论

阅读全文

安全开发

Python批量扫描器三类上传漏洞poc编写教程 | 干货

技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造...

01月01日59 views评论

阅读全文

安全开发

【专题篇】-python三类上传漏洞poc编写教程

0x01 阅读须知本文所提供的工具仅用于学习，禁止用于其他！！！ 0x02 SCAMagicscan简介 SCAMagicscan是一款由本人自研的基于python开发的开源轻量级扫描器，由扫描引擎...

01月01日170 views评论

阅读全文

安全开发

编程语言的未来？

随着科技的飞速发展，编程语言在计算机领域中扮演着至关重要的角色。它们是软件开发的核心，为程序员提供了与机器沟通的桥梁。那么，在技术不断进步的未来，编程语言的走向又将如何呢？方向一：编程语言的发展趋势...

12月30日46 views评论

阅读全文

关于Mybatis的一个小问题。

之前在挖一些项目的时候，老是遇到参数置空导致信息泄露的问题。为了一探究竟，我又去重新补了一下Mybatis 也算是水一篇文章了。Mybatis中XML中的SQL规范可能产生的信息泄露如果在Mybati...

12月30日安全开发33 views评论

阅读全文

代码审计

PHP代码审计—任意文件读取函数篇

任意文件读取原理在源码中有读取文件功能函数的参数没有过滤完全，或是PHP伪协议导致文件被读取。读取文件函数 fopen() fopen()函数一般需要fread()函数配合使用，fread()函数...

12月29日71 views评论

阅读全文

反序列化基础之反射机制

实战 | 通过代码审计完成的渗透

CVE-2023-50164 Apache Struts RCE 分析

记一次简单代码审计实战

五个技巧改善开发与安全的对立关系

FreeMarker入门到简要分析模版注入

深入探讨GPTs和AI Assistant

Python批量扫描器三类上传漏洞poc编写教程 | 干货

【专题篇】-python三类上传漏洞poc编写教程

编程语言的未来？

关于Mybatis的一个小问题。

PHP代码审计—任意文件读取函数篇

在线咨询

微信