安全开发 - 第 181 | CN-SEC 中文网

审计之代码防御错误示范【1】

最近在看一个中等规模的源码。发现它存在一些错误的代码防御手段。因此列举一处出来。都还是比较基础简单。防止目录穿越（这里是一处文件下载功能）if (path.startsWith("/")&n...

11月30日代码审计15 views评论

阅读全文

代码审计

shiro无依赖利用链

shiro无依赖利用链CommonsBeanutils与无commons-collections的Shiro反序列化利用在Shiro中使用无CommonsCollections依赖的CommonsBe...

11月30日38 views评论

阅读全文

代码审计

Bludit cms漏洞挖掘

漏洞分析第一次听说这个cms，也是atao师傅告诉我的，源码地址-https://bludit.com/新奇的地方在于不依赖数据库，数据以json形式储存在文件里，我一开始的思路就是去找他的文件写入的...

11月29日56 views评论

阅读全文

代码审计

代码审计｜针对某支付源码二开ThinkPHP审计

0x01 前言系统详情ThinkPHP V5.0.24thinkphpbase.php : define('THINK_VERSION', '5.0.24');FastAdmin 快速后台开发框架（基...

11月28日142 views评论

阅读全文

代码审计

JNDI注入的抽丝剥茧

JNDI注入的抽丝剥茧JNDI概念首先第一个问题，什么是 JNDI？JNDI (Java Naming and Directory Interface)，是Java平台提供的一个API，它允许Java...

11月27日41 views评论

阅读全文

安全开发

纯鸿蒙应用安全开发指南-安全初探

最近华为发布会官宣将在下一代移除对安卓的支持也是引发了不少的关注，也不断有消息称各大top应用厂商将推出纯鸿蒙版的应用。纯鸿蒙作为一个全新、多设备、多场景的操作系统，为开发者们提供了一个全新的平台，能...

11月27日203 views评论

阅读全文

代码审计

Funadmin审计0day

01 项目介绍本篇文章为青山师傅代审实战案例分享项目地址： https://gitee.com/funadmin/funadmin https://github.com/funadmin/funa...

11月27日112 views评论

阅读全文

代码审计

某开源企业站CMS审计报告

前言最近渗透测试某站点的时候触发了一个报错，然后发现了站点使用的CMS，百度了一下是一个国产开源的企业级CMS。从官网拉下来审了一下，再此记录一下入口下面是index.php入口文件<?phpi...

11月27日25 views评论

阅读全文

代码审计

漏洞分析 | 经典的Shiro反序列化

本文由掌控安全学院 - holic 投稿 0x01、前言相信大家总是面试会问到java反序列化，或者会问到标志性的漏洞，比如shiro反序列化，或者weblogic反序列化漏洞。那我就这篇文章为大...

11月26日26 views评论

阅读全文

代码审计

如何利用SCA静态代码分析工具快速发现漏洞

Static Code Analysis（SCA）静态代码分析技术，可以帮助开发人员快速扫描代码中存在的问题，对于开源软件安全研究也是一种非常高效的手段。本文介绍如何使用静态代码分析工具，在大型开源项...

11月24日79 views评论

阅读全文

安全开发

【前端VUE】TypeScript 极速梳理

公众号回复“20231124”下载原文始发于微信公众号（小C学安全）：【前端VUE】TypeScript 极速梳理

11月24日11 views评论

阅读全文

代码审计

代码审计： I DOC VIEW 前台RCE 分析

I DOC VIEW是一个在线的文档查看器，其中的/html/2word接口因为处理不当，导致可以远程读取任意文件，通过这个接口导致服务器下载恶意的JSP进行解析，从而RCE。漏洞影响版本202311...

11月24日87 views评论

阅读全文

在线咨询

微信