fscan二开绕过与免杀实录:从认识结构到免杀化绕过数字某绒 前言 在日益严格的安全环境下,传统的木马样本很容易被静态分析、行为分析所识别。本文记录我对某 Go 编写的fscan安全工具进行二次开发,...
JavaSec | 某次代码审计比赛记录
本文由掌控安全学院 - cs 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 一、背景 之前某位同事组织了代码审计比赛,周末我抽空看了3套j...
记录某次代码审计比赛记录
扫码领资料获网安教程本文由掌控安全学院 - cs 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn)一、背景之前某位同事组织了代码审计比赛,周末我...
手搓chrome插件助你提取敏感数据
为什么要通过chrome插件来识别敏感url和对应的敏感数据,其实大家平时在安全测试中有burp或者其他工具可以实现对应能力,但是对于很多非安全测试的人员在做数据安全或者等工作中需要对敏感接口及敏感数...
一文学习Spring依赖注入
简介在Spring框架中,为了确保组件之间的依赖关系得到正确管理和维护,建议使用依赖注入(Dependency Injection, DI)。依赖注入是一种设计模式,允许程序在运行时自动为类的成员变量...
whisper多商户客服系统存在前台SQL注入漏洞
点击上方蓝字关注我们 并设为星标0x00 前言 某兄弟向我求助一站,领导要求拿到后台权限,打开一看发现是二开的 whisper 多商户客服系统,搜索网络已知漏洞 发现有XSS+任意文件读取,但目...
【代码审计】Emlog存在SQL注入+XSS漏洞
声明:本文提供的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无...
Spring MVC + FastJSON:反序列化攻击是怎么一步步发生的?
🧠 Spring MVC 是怎么悄咪咪地调用了 FastJSON 来反序列化的?🌟 一句话总结:你只写了一句 @RequestBody Object data,Spring 就自动帮你用 FastJS...
FastJSON + MQ 实现反序列化漏洞攻击链
🚨 利用 FastJSON + MQ 实现反序列化漏洞攻击链在现代微服务架构中,消息中间件(如 Kafka、RocketMQ、RabbitMQ)被广泛用于服务解耦与异步通信。然而,这也带来了新的攻击面...
一文吃透 MyBatis 执行 SQL 的全过程,附源码解析!
🎯 MyBatis执行SQL的深入分析✅ MyBatis注入链路结构[Controller] → [Service] → [DAO] → [Mapper(XML/注解)] → [SQL执行]📌 注入可...
PHP代审之微信公众号小说系统
最近因为二期公开课原因开始复习PHP代码审计,搞了几套源码由简到难审审,水水文章 这套系统是做课件的时候搜到的漏洞案例,自己审审结果有新发现文章目录 项目介绍环境搭建代码审计 系统架构分析 ...
Rust 编写的隐秘 Linux rootkit
特征该rootkit由多个模块组成(这里指的是Rust模块,而不是内核模块):防御规避:隐藏文件、进程、网络连接等。钩子:钩住系统调用和 IDT虚拟机管理程序:创建虚拟机来执行恶意代码持久性:使 ro...
425