安全开发 - 第 349 | CN-SEC 中文网

代码审计

关于blackhat2021披露的fastjson1.2.68链

熟悉fastjson1.2.68反序列化的请直接看三。一、fastjson 1.2.68反序列化历史fastjson 1.2.68可以利用java.lang.AutoCloseable绕过checkA...

12月22日437 views评论

阅读全文

安全开发

代码安全：从响应式安全转向主动式安全

漏洞界二八定律，过去20多年来的绝大多数安全事件都是头部那10个软件漏洞造成的。然而，很多企业仍然选择事后补救，得过且过地承受安全事件造成的人员和业务后果。不过，当前一项新的研究为我们指明了由人主导的...

12月21日91 views评论

阅读全文

代码审计

代码审计 | Zoho 从未授权访问到远程 RCE

本文作者：Z1NG（信安之路核心成员，擅长代码审计、红队技术）ZOHO ManageEngine ServiceDesk Plus（SDP）是美国卓豪（ZOHO）公司的一套基于 ITIL 架构的 IT...

12月20日251 views评论

阅读全文

代码审计

Fastjson反序列化漏洞史（上）

Fastjson没有cve编号，不太好查找时间线，一开始也不知道咋写，不过还是慢慢写出点东西，幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以...

12月17日106 views评论

阅读全文

代码审计

CMS审计:任意文件删除->RCE

目录前言漏洞挖掘思路分享全局搜索，定位关键字判断前台洞 or 后台洞漏洞利用了解路由，构造payload验证漏洞，尝试getshell小结前言最近投了一些白盒审计的岗位，于是想着多看看代码，训练一下审...

12月16日148 views评论

阅读全文

安全开发

【GoCN酷Go推荐】crypto官方加解密库

1. 为什么用官方crypto，不用第三方库因为这个加解密库实际很简单，并不需要太多的配置以及学习；且特别是比较敏感的数据，如果代码圈发现有一种算法的加密方式是有漏洞的，第三方库真不一定会及时解决。2...

12月16日80 views评论

阅读全文

安全开发

Windows驱动编程之NetFilterSDK

本文为看雪论坛优秀文章看雪论坛作者ID：一半人生Nfsdk源码网友口碑一直不错，梳理笔记分享。NetFilter SDK团队维护了多平台源码，本篇只介绍Windows平台。官网：https://net...

12月15日1,724 views评论

阅读全文

安全开发

Python安全开发之第三方库requests讲解【C10课】

1课程目标掌握安装第三方模块的方法掌握requests库的常用方法与返回值掌握requests...

12月15日119 views评论

阅读全文

安全开发

PHP编码安全：弱数据类型安全

微信公众号：计算机与网络安全ID：Computer-network由于PHP的弱数据类型特性，造就了PHP的易学和易用。PHP在使用双等号（==）判断的时候，不会严格检验传入的变量类型，同时在执行过程...

12月15日105 views评论

阅读全文

Python安全开发之基础知识综合练习【C09课】

课程目标完成基础知识练习print+input+if+while+判断符号>>>猜数字游戏random+print+while+format+判断符号>>>彩票游戏...

12月14日安全开发105 views评论

阅读全文

代码审计

tp二次开发的代码审计（PHP代码审计）

其实框架比较老，大家学习一下思路。小浪觉得你不会代码审计，就拿着工具搞渗透，没撒前途，多看看代码，就是HVV也靠0day冲名次呀，这是你成为大神必经的路。希望各位师傅能明白这个道理。概述一款某单子Tp...

12月14日245 views评论

阅读全文

安全开发

Fastjson 1.2.22-24 反序列化漏洞分析（2）

Fastjson 1.2.22-24 反序列化漏洞分析（2）1.环境搭建我们以ubuntu作为被攻击的服务器，本机电脑作为攻击者本机地址：192.168.202.1ubuntu地址：192.168.2...

12月12日107 views评论

阅读全文

在线咨询

微信