安全开发 - 第 39 | CN-SEC 中文网

代码审计

【代审复现】基于JAVA的某开源OA后台Rce代码审计

提及这是记录去年加入X渡团队时学习的一篇代码审计还原；X网OA的后台Fastjson反序列化RCE漏洞，当时也是跟着relay师傅的教程进行还原由于这是开源源码不需要进行反编译等操作，搭建好...

01月09日11 views评论

阅读全文

代码审计

Java安全小记-Commons-Collections2反序列化

通过yso的代码可以看出，cc2利用链用的是commons-collections4版本，而我们之前用的是3.1版本。所以首先要下载一下依赖，pom文件加入：<dependency> ...

01月08日14 views评论

阅读全文

代码审计

基于Fortify SCA 的GB/T 3494X 源码审计规则研究与应用

摘　要：2017 年颁布的GB/T 34943—2017《C/C++语言源代码漏洞测试规范》、GB/T 34944—2017《Java 语言源代码漏洞测试规范》、GB/T 34946—2017《C#语...

01月07日37 views评论

阅读全文

安全开发

如何用DeepSeek写一个渗透测试小工具

看到最近国产的DeepSeek也是很火，所以打算看能不能完成一个可以在渗透测试中起辅助作用的前端项目，接下来看看效果如何。 0x00、初步配置在开发者平台申请好Apikey之后配置完成即可开始创作...

01月07日41 views评论

阅读全文

代码审计

Java安全小记-FastJson反序列化

Fastjson回顾这里先来回顾一下fastjson怎么使用，其实研究具体的漏洞主要就是fastjson的序列化和反序列化先来创建一个类package com.ocean;publicclassUse...

01月06日17 views评论

阅读全文

代码审计

某华命令执行Rce原理分析

复现路径:/evo-apigw/admin/API/Developer/GetClassValue.jsp 数据包： {"data": {"clazzName": "com.dahua.admin....

01月06日64 views评论

阅读全文

安全开发

[大模型时代的行为艺术] 从0基础到纯血鸿蒙APP开发实践

说出来可能你们都不相信，其实我是一个“行为艺术家” ... 我从小到大坚持的就一个目标，那就是“把我自己的想法都实现了！”，我自己的能做的就自己做了，自己做不到的就忽悠能做的帮我！之前是忽悠基友，后面...

01月06日4 views评论

阅读全文

安全开发

多线程读写锁产生死锁的故障解决方案

作者：morphis多线程环境下，读写锁是一种常用的同步原语，适用于多读者-多写者的经典问题；合理的使用可以在保证数据一致性的前提下，大幅提升读性能，但不合理的使用可能会导致死锁。本文从一次协程泄露问...

01月06日5 views评论

阅读全文

安全开发

chrome 插件开发指南

动手点关注干货不迷路 👆丰富的 chrome 插件极大的提升我们的工作效率和辛福感，比如大名鼎鼎的 adblock 广告屏蔽、GoFullPage 网页长截图、evernote web clipper...

01月06日15 views评论

阅读全文

代码审计

代码审计之逃不过的命运

噩耗传来就这样被你征服，喝下你藏好的毒。。。。真的是爆头【抱头】唱征服。亡羊补牢反手就做个更新。漏洞复现 • 后台增加可执行的语句。 • 创建非管理组的用户 • 换浏览器登录选...

01月06日14 views评论

阅读全文

代码审计

Jspxcms V9.0.0漏洞分析学习

前言对于php代码审计已经满足不了日常工作的需求了，更多的是接触到了Java，而且大部分网站现在已经是由Java进行开发，对于Java的代码审计也不能落下。所以，本篇文章，作者参考https:/...

01月06日26 views评论

阅读全文

代码审计

导致Log4j Rce的JNDI注入

前言记前奏，复现分析了史诗级漏洞Log4j Rce漏洞，并且搞明白了调用链，发现后面是利用的JNDI注入漏洞，问了其他师傅，其他好多漏洞都是因为这个漏洞。为了总结完美一点，一定要补上本文，熟悉...

01月03日20 views评论

阅读全文

【代审复现】基于JAVA的某开源OA后台Rce代码审计

Java安全小记-Commons-Collections2反序列化

基于Fortify SCA 的GB/T 3494X 源码审计规则研究与应用

如何用DeepSeek写一个渗透测试小工具

Java安全小记-FastJson反序列化

某华命令执行Rce原理分析

[大模型时代的行为艺术] 从0基础到纯血鸿蒙APP开发实践

多线程读写锁产生死锁的故障解决方案

代码审计之逃不过的命运

Jspxcms V9.0.0漏洞分析学习

导致Log4j Rce的JNDI注入

在线咨询

微信