安全开发 - 第 2 | CN-SEC 中文网

代码审计

Java代码审计之命令执行漏洞详解

0x01 漏洞简介在Java代码审计中，命令执行漏洞指应用程序未对用户输入进行严格过滤，直接将外部可控参数拼接到系统命令中执行，导致攻击者可注入恶意命令并获取服务器控制权。其核心原理是开发者误用危险函...

16小时前11 views评论

阅读全文

安全开发

从一道java题学习 JRMP 绕过 JNDI

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢...

16小时前1 views评论

阅读全文

安全开发

红队C2研发日记2：C2 Server端的认证实现

红队C2研发日记2：C2 Server端的认证实现这节来实现一下c2 中的server端代码，也就是TeamServer,这种基于c/s架构的，应该是目前主流的C2通信设计架构。Server端的话使用...

04月21日5 views评论

阅读全文

代码审计

【代码审计】某友云平台远程命令执行漏洞

点击上方蓝字关注安全知识引言此漏洞未公开未公开漏洞某友云平台远程命令执行漏洞漏洞概述xxx云平台存在未授权SQL注入漏洞，攻击者可通过构造恶意JSON请求实现数据库版本信息...

04月21日2 views评论

阅读全文

详解PHP原生类在安全方面的利用

‍‍01前言‍‍‍‍最近打了一个比赛遇到了以new a(b)这样的考点,结合以前了解的知识,所以总结一下几种类似形式的解题技巧。这里主要以下三种形式的代码eval("echo new b);")ech...

04月21日代码审计1 views评论

阅读全文

代码审计

代码审计|SpringKill如何用CodeAuditAssistant挖掘0day教程公布

如何快速复现 / 挖掘一个漏洞？CodeAuditAssistant 高阶技巧SpringKill，网络安全建设 | SAST/IAST研究员 | 开源安全工具开发者，专注于静态分析(SAST)、动态...

04月21日13 views评论

阅读全文

代码审计

【代码审计】记某次项目前台反序列化RCE漏洞研究

点击上方蓝字关注我们并设为星标0x01 过程一套涉Zha的系统，名字就不给出了，貌似用的人还挺多.该项目框架:ThinkPHP 5.0.24 Debug:True翻遍了所有代码，上传点都限制的比较死...

04月21日5 views评论

阅读全文

安全开发

Docker 容器技术

https://docs.docker.com/Docker概述Docker为什么会出现开发和运维的矛盾：“在我的电脑可以运行”从开发到上线，需要两套环境，不同环境都需要配置；应用版本更新，导致服务不...

04月21日2 views评论

阅读全文

安全开发

OpenManus源码理解-自动化渗透测试(一)

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！所有工...

04月20日3 views评论

阅读全文

代码审计

某短视频矩阵营销系统前台RCE漏洞审计

点击上方蓝字关注我们并设为星标0x00 前言Fofa语句:请见文末搭建完之后长这样. ThinkPHP框架，需要将目录设置为Public.这套系统洞挺多的，大家可以研究学习一下目录结构控制器全都...

04月19日13 views评论

阅读全文

安全开发

Linux五种IO模型和三种多路复用技术大详解

作者：symen前言：在Linux系统中，实际上所有的I/O设备都被抽象为文件这个概念，一切皆文件（Everything is File）。无论是磁盘、网络数据、终端，还是进程间通信工具（如：管道pi...

04月19日3 views评论

阅读全文

代码审计

JAVA安全调试篇（无源码远程调试WAR包(以S2-001为例)）

1无源码远程调试WAR包(以S2-001为例)1.1环境搭建安装IDEA当前环境为2022.3安装tomcatJAVA8下载vulhub1.2在tomcat中部署war包把war包部署到webapps...

04月18日6 views评论

阅读全文

Java代码审计之命令执行漏洞详解

从一道java题学习 JRMP 绕过 JNDI

红队C2研发日记2：C2 Server端的认证实现

【代码审计】某友云平台远程命令执行漏洞

详解PHP原生类在安全方面的利用

代码审计|SpringKill如何用CodeAuditAssistant挖掘0day教程公布

【代码审计】记某次项目前台反序列化RCE漏洞研究

Docker 容器技术

OpenManus源码理解-自动化渗透测试(一)

某短视频矩阵营销系统前台RCE漏洞审计

Linux五种IO模型和三种多路复用技术大详解

JAVA安全调试篇（无源码远程调试WAR包(以S2-001为例)）

在线咨询

微信