安全开发 - 第 361 | CN-SEC 中文网

代码审计

java安全开发之spring boot Thymeleaf模板注入

0x01 Thymeleaf简介Thymeleaf是用于Web和独立环境的现代服务器端Java模板引擎。类似与python web开发中的jinja模板引擎。顺便说一句，Thymeleaf是sprin...

09月04日162 views评论

阅读全文

代码审计

步骤1：代码审计

二次注入是SQL注入的一种，是在输入的字符串之中注入SQL指令，在设计不良的程序当中忽略了检查，那么这些注入进去的指令会被数据库服务器误认为是正常的SQL指令而运行，因此遭到破坏。那为什么需要二次注...

09月03日115 views已关闭评论

阅读全文

安全开发

提升开发者安全的七大可行实践

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士同理心即理解其他人内心感受的能力可能是将安全成功转移到开发世界的秘方。Snyk 公司的联合创始人兼总裁 Guy Podjarny 通过无数...

09月03日84 views评论

阅读全文

安全开发

Golang的字符编码与regexp

‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍作者：0x7F@知道创宇404实验室时间：2021年8月13日前言最近在使用 Golang 的 regexp 对网络流量做正则匹配时，发现有些情况无法正确进行匹配，找...

09月03日58 views评论

阅读全文

代码审计

【技术分享】二进制角度构造Java反序列化Payload

介绍最近用Go编写Java反序列化相关的扫描器，遇到一个难点：如何拿到根据命令生成的payload通过阅读已有开源工具的源码，发现大致有以下两种解决方案执行命令法使用命令执行ysoseri...

09月02日129 views评论

阅读全文

代码审计

seacms 9.92全局变量覆盖从越权到RCE

前言海洋cms是为解决站长核心需求而设计的内容管理系统，一套程序自适应电脑、手机、平板、APP多个终端入口，无任何加密代码、安全有保障，是最佳的建站工具。前段时间看到朋友圈不止一个朋友提到了seacm...

09月02日234 views评论

阅读全文

代码审计

代码审计之DTCMS V5.0后台漏洞两枚

漏洞一后台文件读取漏洞漏洞分析：该漏洞主要是由于模板引擎解析未过滤导致的。登录后台-模板管理-编辑模板模板文件相互引用是十分常见的，这里我们可否将模板文件引用改为其他关键文件呢？譬如：web.con...

09月02日718 views评论

阅读全文

代码审计

代码审计第四节-XSS基础知识

代码审计第四节主要是讲解XSS的一些基础知识。跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚...

09月02日137 views评论

阅读全文

安全开发

Spring Boot 注解原理，自动装配原理，图文并茂，万字长文！

点击下方“IT牧场”，选择“设为星标”首先，先看SpringBoot的主配置类：@SpringBootApplicationpublic class StartEurekaAppl...

09月01日56 views评论

阅读全文

安全开发

给开发者的9个安全建议：既能保护供应链安全，也不会拖慢开发进程

聚焦源代码安全，网罗国内外最新资讯！编译：奇安信代码卫士随着供应链攻击继续登上各大头条，软件开发团队意识到不能忽视包管理，因为其中隐藏的威胁是真实存在的。如下我们将介绍开发人员能够抵御供应...

09月01日76 views评论

阅读全文

代码审计

Java注入类漏洞精选技术文章汇总

出品｜MS08067实验室（www.ms08067.com）下列这些文章是团队在研究Java注入类漏洞时收集的高质量技术文章，在此推荐给大家。1.SQL注入《用javaPreparedStatemen...

09月01日86 views评论

阅读全文

代码审计

关于Dvbbs Version 7.0.0 Sp2渗透测试

我常想在纷扰中寻出一点闲静来，然而委实不容易。目前是这么离奇，心里是这么芜杂。我常想在纷扰中寻出一点闲静来，然而委实不容易。序言此文章比较水，没啥技术性可言，只是针对随便水水，cms也是非常复古了，T...

08月31日59 views评论

阅读全文

java安全开发之spring boot Thymeleaf模板注入

步骤1：代码审计

提升开发者安全的七大可行实践

Golang的字符编码与regexp

【技术分享】二进制角度构造Java反序列化Payload

seacms 9.92全局变量覆盖从越权到RCE

代码审计之DTCMS V5.0后台漏洞两枚

代码审计第四节-XSS基础知识

Spring Boot 注解原理，自动装配原理，图文并茂，万字长文！

给开发者的9个安全建议：既能保护供应链安全，也不会拖慢开发进程

Java注入类漏洞精选技术文章汇总

关于Dvbbs Version 7.0.0 Sp2渗透测试

在线咨询

微信