安全开发 - 第 367 | CN-SEC 中文网

安全开发

【第10周】过滤器作用范围/和/*引发的安全问题

问题：过滤器作用范围设置为/或/*一样么？安全人员可能觉得不一样，毕竟从对通配符的认识来说，/代表的只是根目录，/*代表所有。开发人员可能觉得一样，根据平常的开发经验，并未发现两者的差别。其实呢，这两...

07月27日50 views评论

阅读全文

安全开发

生成树--STP

包含两个文档，STP原理和具体选举。链接：https://pan.baidu.com/s/1clQu60a2hNLbLldE_VLDOw 提取码：u0l4 老铁们，这里有干货！喜欢...

07月27日91 views评论

阅读全文

代码审计

一次简单的代码审计

最近某漏洞平台出了一个活动……挖来挖去都没有办法搞到啥代码执行都漏洞，不服～(每天烦躁的很)然后想了下emlog这个博客系统，以前也挖过什么漏洞，再去把源码下载下来试一试吧！结果发现这套系统的开发好像...

07月27日192 views评论

阅读全文

代码审计

Gafgyt重用Mirai代码分析

Gafgyt（又名Bashlite）是著名的恶意软件家族，主要针对物联网设备发起攻击，例如华为路由器、Realtek 路由器和华硕网络设备等。Gafgyt 还使用很多漏洞（CVE-2017-17215...

07月27日107 views评论

阅读全文

安全开发

线程池是如何重复利用空闲的线程来执行任务的？

点击下方“IT牧场”，选择“设为星标”来源：https://blog.csdn.net/anhenzhufeng/article/details/88870374在Java开发中，经常需要创建线程去执...

07月27日74 views评论

阅读全文

代码审计

cve-2021-2394 weblogic反序列化漏洞分析

前几天weblogic 7月例行更新中，修复了一个反序列化漏洞。该漏洞性质属于绕过之前的反序列化漏洞补丁。要了解这个漏洞的原因，我们首先要学习其他几个漏洞的原理。一 weblogic 反序列化绕过指南...

07月26日168 views评论

阅读全文

代码审计

ThinkPhp5.0.x 远程RCE简单分析

ThinkPhp5.0.x 远程RCE简单分析0x1 前言周五考完试，正在准备复习的时候，无聊的时候跑去水群，然后看到有师傅丢了个payload和文档，说是thinkphp5.0.x的远程rce，于是...

07月25日113 views评论

阅读全文

代码审计

【第3周】探究Java中XXE漏洞的深层原理

前段时间微信支付JDK又出现了XXE漏洞，原因是对前一个XXE漏洞没有修复成功。细思深层原因，是因为对Java JDK提供的API函数理解不正确，导致误用函数进行防御。我不禁思考了以下问题:1. Ja...

07月25日64 views评论

阅读全文

代码审计

RHG & AutoPwn Robot技术结构详解

赛制国内现有的自动化攻防的比赛有bctf的autopwn，以及rhg比赛，这是国内主要的两场自动化挖掘利用的比赛，还有国外的CGC比赛，本文主要讲的是这两种比赛的Robot结构。下图是选手整体的一个接...

07月25日421 views评论

阅读全文

代码审计

如何用Python开发QQ机器人

来自：CSDN，作者：tanleiDD链接：https://blog.csdn.net/TL18382950497/article/details/112321956前言虽然该文最终是达到以pytho...

07月25日61 views评论

阅读全文

浅谈代码审计

浅谈代码审计顾名思义代码审计即"寻找代码中的错误缺点，从而找到安全漏洞"代码审计分为黑盒审计和白盒审计黑盒审计：在一个你一无所知的环境中寻找突破口发现安全漏洞白盒审计：你能直观...

07月25日代码审计204 views评论

阅读全文

代码审计

0day制造机！实战挖穿某知名诈骗云购CMS

前言作者：阿皮 (“人人大佬计划”二期学员)https://www.secquan.org/users/danshenpi原文地址：https://www.secquan.org/CodeA...

07月25日420 views评论

阅读全文

在线咨询

微信