01前言最近也是边挖src边审计代码,总结下最近的php代码审计的一些思路,我一般按照顺序往下做,限于能力水平,可能会有不对或者欠缺的地方,希望各位师傅能够指导。 02前期工作,...
01月17日92 views评论安全漏洞
工具
【技术分享】PHP代码审计一条龙思路
01月17日92 views评论安全漏洞
工具
01月17日92 views评论安全漏洞
工具
Java代码审计:反序列化
1 反序列化漏洞 反序列漏洞,当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码...
01月16日189 views评论攻击者
漏洞
扫描器性能分析案例(修正版)
之前文章结论有问题,修正后形成本文。原文如下问题背景之前线上的漏洞扫描器遇到一个问题:扫描刚开始时,内存占用不超过200M,但在扫描过程中,扫描器会占用超过10G以上内存。因为同一台机器上还有其他的服...
01月16日79 views评论java
shiro
Java代码审计:路径穿越
1 路径穿越漏洞 路径穿越(目录遍历), 应用系统在处理下载文件时未对文件进行过滤,系统后台程序程序中如果不能正确地过滤客户端提交的../和./之类的目录...
01月16日791 views评论JAVA代码审计
路径穿越
代码审计:AKun Wallpaper实战分析
0x00 前言萌新博主前一段时间一不小心发现了一个漏洞并获取了一个CVE编号,高兴了好一阵子。于是本萌新就想学习一下代码审计,挖一点CVE来玩一玩。最终选择了《代码审计——企业级Web代码安全架构》作...
01月16日149 views评论cve
漏洞
CVE-2019-9081 Laravel5.7 反序列化 RCE复现
本文为看雪论坛优秀文章 看雪论坛作者ID:H3h3QAQ 1 漏洞简介 Laravel Framework 5.7.x版本中的Illuminate组件存在反序列化漏洞,远程攻击者可利用该漏洞执行代码。...
01月15日107 views评论方法
漏洞
host碰撞python3脚本实现
文章首发于: 火线Zone社区(https://zone.huoxian.cn/) 引言 host碰撞,懂的都懂。这里主要讲下脚本实现逻辑。 host碰撞逻辑 ip与host组合,进行尝试,修改请求头...
01月15日157 views评论ip
域名
关于我学渗透的那档子事之Java反序列化-CB链
前言java反序列化cb链大家应该都玩过,我当初是通过看shiro无依赖了解到的,最近在重学基础,就手把手一点一点调试一遍。记得11月份自我反思之后,认为自己渗透的学习深度广度都太差,对漏洞的学习只是...
01月14日82 views评论java
序列化
【创宇小课堂】JAVA代码审计-MVC入门
1、M:模型层,完成具体的业务操作,如查询数据库,分装对象2、V:视图层,JSP展示数据的3、C:控制层,用于获取用户的输入,调用模型,将数据交给视图进行展示解决IDEA导入maven过慢的办法,在创...
01月13日95 views评论JAVA代码审计
mvc
Java代码审计:远程代码执行
1 RCE漏洞RCE (Remote Code Execution), 远程代码执行漏洞,这里包含两种类型漏洞:命令注入(Command Injection),在某种开发需求中,需要引入对系统本地命令...
01月13日177 views评论java
远程代码执行
最新OWASP-TOP10-2021中文版V1.0发布!
如何获取最新中文版合集?关注微信公众号“Gaobai文库”,后台回复sec即可获取阅读!0x00 最新OWASP10有哪些变化?官方:2021年版Top10产生了三个新类别,原有四个类别的命名和范围也...
01月13日330 views评论OWASP-TOP10-2021
漏洞
对某 DedeCMS 二开系统全局变量追加漏洞利用
本文纯属虚构,网站皆为本地靶场。我写文章总是喜欢带着我的个人感情,去记录我尝试过的失败和踩过的坑,最开始写文章都是为了自己日后方便想起更多的细节和当时脑子里的想法,所以总是那么的啰啰嗦嗦,嫌长的可以直...
01月11日86 views评论dedecms
全局变量追加漏洞利用
425