安全开发 - 第 338 | CN-SEC 中文网

代码审计

使用 Unicorn 对白盒密码算法进行动态故障注入实践

Kerckhoffs 原则提出，一个密码系统的安全仅依赖于密钥的安全，除密钥外，密码系统的一切都被视为是公开的信息。然而在现实中，软件逆向技术和动静态调试技术已经能够成功对密码系统进行密钥提取攻击。鉴...

02月08日660 views评论

阅读全文

Java安全log4j漏洞前置知识JNDI注入

关于JNDI：1.JNDI是Java提供的Java 命名和目录接口。通过调用JNDI的API应用程序可以定位资源和其他程序对象。2.JNDI可访问的现有的目录及服务有:JDBC、LDAP、RMI、DN...

02月08日代码审计83 views评论

阅读全文

Java安全log4j漏洞前置知识RMI

RMI是什么RMI远程方法调用，允许运行在一个java虚拟机上的对象调用运行另外一个远程java虚拟机上的对象的方法，RMI的使用下面以一个示例进行演示：hello 代码import java.rmi...

02月07日代码审计92 views评论

阅读全文

安全开发

代码审计（二）——SQL注入代码

代码审计第二课来啦，🚗滴滴滴！快快上车吧！什么是SQL注入01SQL注入原理当访问动态网页时，以MVC框架为例，浏览器提交查询到控制器（①），如是动态请求，控制器将对应sql查询送到对应模型（②），由...

02月07日171 views评论

阅读全文

安全开发

XStream反序列化漏洞原理深度分析

一、XStream框架组成分析XStream是java实现对javaBean(实用类)简单快速进行序列化反序列化的框架。目前支持XML或JSON格式数据的序列化或反序列化过程。XStream总体主要由...

02月07日46 views评论

阅读全文

代码审计

花椒CMS渗透测试后的漏洞总结

代码审计：对花椒CMS的测试因为放了寒假，时间比较充裕，于是就开始学习网络安全。不学还好，结果一学就沉迷于此不可自拔。最近有个团队找到我，合作了一些内容。其中有一项就是渗透一个使用花椒CMS的网站，于...

02月07日464 views评论

阅读全文

代码审计

PHP实现代码执行的最短Payload

<?='$_GET[1]'?>http://localhost:8000/rce.php?1=id这个payload可以被用来反映在web应用程序的很多文件中1、在元数据中 2、...

02月05日122 views评论

阅读全文

安全开发

SecMap - 反序列化（Python）

🍊 SecMap - 反序列化（Python）这是橘子杀手的第 44 篇文章题图摄于：杭州 · 西湖☁️ 介绍与 PHP 反序列化类似，Python 反序列化也是为了解决对象传输与持久化存储问题。🌧 ...

02月04日51 views评论

阅读全文

安全文章

PHP实现代码执行的最短Payload

<?='$_GET[1]'?>http://localhost:8000/rce.php?1=id这个payload可以被用来反映在web应用程序的很多文件中1、在元数据中 2、...

02月04日85 views评论

阅读全文

代码审计

PHP实现代码执行的最短Payload

<?='$_GET[1]'?>http://localhost:8000/rce.php?1=id这个payload可以被用来反映在web应用程序的很多文件中1、在元数据中 2、...

02月04日100 views评论

阅读全文

代码审计

浅谈PHP伪协议

php中有很多封装协议，最常见的如file协议，php协议，data协议，zip和phar协议等等这次我们主要来聊聊php://协议php://stdinPHP 提供了一些杂项输入/输出（IO）流，允...

02月04日238 views评论

阅读全文

使用 Unicorn 对白盒密码算法进行动态故障注入实践

Java安全log4j漏洞前置知识JNDI注入

Java安全log4j漏洞前置知识RMI

推荐30个好用的Python编程技巧

代码审计（二）——SQL注入代码

XStream反序列化漏洞原理深度分析

花椒CMS渗透测试后的漏洞总结

PHP实现代码执行的最短Payload

SecMap - 反序列化（Python）

PHP实现代码执行的最短Payload

PHP实现代码执行的最短Payload

浅谈PHP伪协议

在线咨询

微信