安全开发 - 第 375 | CN-SEC 中文网

代码审计

ysoserial CommonsColletions4分析

其实CC4就是 CC3前半部分和CC2后半部分拼接组成的，没有什么新的知识点。不过要注意的是，CC4和CC2一样需要在commons-collections-4.0版本使用，3.1-3.2.1版本不...

07月17日58 views评论

阅读全文

代码审计

对某cms的漏洞挖掘之旅

原创稿件征集邮箱：[email protected]：3200599554黑客与极客相关，互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的稿酬声明：本...

07月16日98 views评论

阅读全文

安全开发

为什么不建议你用 a.equals(b) 判断对象相等

点击下方“IT牧场”，选择“设为星标”来源：cnblogs.com/juncaoit/p/12422752.html一直以为这个方法是java8的，今天才知道是是1.7的时候，然后翻了一下源码。这片文...

07月15日104 views评论

阅读全文

代码审计

原创 | 白说：php反序列化之pop链

点击上方蓝字关注我吧前言最近的CTF比赛中，感觉PHP序列化与反序列化漏洞中的POP链的身影越越多了，特此，写一篇关于POP链构造的小文，内容不深，更多的是想提供给想要入坑的小伙伴们一点借鉴(厉害的...

07月14日61 views评论

阅读全文

安全开发

超全的 100 个 Pandas 函数

来自公众号：数据分析1480分享我认为比较常规的100个实用函数，这些函数大致可以分为六类，分别是统计汇总函数、数据清洗函数、数据筛选、绘图与元素级运算函数、时间序列函数和其他函数。❆统计汇总函数数据...

07月13日78 views评论

阅读全文

代码审计

[开学前的0day福利]ZZCMS的前台多处SQL注入

最近代码写不下去了，也思考不下去人生了。只能搞点代码审计练练手～但是大型的吧，黑盒搞着也累。小型的吧，好像钱又不满足我。算了算了，当我精力不足，先搞着小型CMS吧！……真是尴尬，小型CMS也有人提交。...

07月12日117 views评论

阅读全文

安全开发

Python安全开发第三章(函数)

前言本文来学习函数的定义和使用，在实际开发中，函数经常用于将功能分块化，要使用谁就调用谁即可。1.初始函数 ...

07月12日131 views评论

阅读全文

安全开发

使用C#开发IIS模块后门

iis后门的两种形式根据微软的文档[1]，iis开发功能分为两种，分别是IIS module和IIS handler，即IIS模块和IIS处理程序。IIS模块是一个.NET类，该类实现ASP.NETS...

07月12日330 views评论

阅读全文

代码审计

代码审计 | 曲折的某java教务系统代码审计

这是F12sec的第63篇原创申明：本次测试只作为学习用处，请勿未授权进行渗透测试，切勿用于其它用途！ps：感谢北神，小丑师傅给的代码本文由团队师傅Challenger投稿，转载请标明来源...

07月11日210 views评论

阅读全文

代码审计

变量覆盖漏洞

先看一段代码：<?php$a='aaa';$aaa='xxx';echo $$a; //$$a=$($a)=$(aaa)='xxx'?>最后回显的是xxx，讲实话，我第一次明白了这个原理后...

07月11日111 views评论

阅读全文

代码审计

超细的PHP-反序列化

这是F12sec的第60篇原创申明：本次测试只作为学习用处，请勿未授权进行渗透测试，切勿用于其它用途！ ps：很多小伙伴都催更了，先跟朋友们道个歉，摸鱼太久了，哈哈哈，今...

07月10日77 views评论

阅读全文

java反序列化实战【05】——jackson

虽然jackson 的CVE众多，让人误以为其和fastjson一样很容易反序列化攻击，但其实都是各式各样的第三方jar包导致的Gadget，实战中很难成功。官方团队也烦了这种刷CVE行为，于2020...

07月10日代码审计386 views评论

阅读全文

ysoserial CommonsColletions4分析

对某cms的漏洞挖掘之旅

为什么不建议你用 a.equals(b) 判断对象相等

原创 | 白说：php反序列化之pop链

超全的 100 个 Pandas 函数

[开学前的0day福利]ZZCMS的前台多处SQL注入

Python安全开发第三章(函数)

使用C#开发IIS模块后门

代码审计 | 曲折的某java教务系统代码审计

变量覆盖漏洞

超细的PHP-反序列化

java反序列化实战【05】——jackson

在线咨询

微信