安全开发 - 第 4 | CN-SEC 中文网

安全开发

如何免杀自己的fscan

fscan二开绕过与免杀实录：从认识结构到免杀化绕过数字某绒前言在日益严格的安全环境下，传统的木马样本很容易被静态分析、行为分析所识别。本文记录我对某 Go 编写的fscan安全工具进行二次开发，...

05月01日12 views已关闭评论

阅读全文

代码审计

JavaSec | 某次代码审计比赛记录

本文由掌控安全学院 - cs 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）一、背景之前某位同事组织了代码审计比赛，周末我抽空看了3套j...

04月29日11 views评论

阅读全文

代码审计

记录某次代码审计比赛记录

扫码领资料获网安教程本文由掌控安全学院 - cs 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）一、背景之前某位同事组织了代码审计比赛，周末我...

04月29日12 views评论

阅读全文

安全开发

手搓chrome插件助你提取敏感数据

为什么要通过chrome插件来识别敏感url和对应的敏感数据，其实大家平时在安全测试中有burp或者其他工具可以实现对应能力，但是对于很多非安全测试的人员在做数据安全或者等工作中需要对敏感接口及敏感数...

04月29日8 views评论

阅读全文

一文学习Spring依赖注入

简介在Spring框架中，为了确保组件之间的依赖关系得到正确管理和维护，建议使用依赖注入（Dependency Injection, DI）。依赖注入是一种设计模式，允许程序在运行时自动为类的成员变量...

04月28日代码审计12 views评论

阅读全文

代码审计

whisper多商户客服系统存在前台SQL注入漏洞

点击上方蓝字关注我们并设为星标0x00 前言某兄弟向我求助一站，领导要求拿到后台权限，打开一看发现是二开的 whisper 多商户客服系统，搜索网络已知漏洞发现有XSS+任意文件读取，但目...

04月27日21 views评论

阅读全文

代码审计

【代码审计】Emlog存在SQL注入+XSS漏洞

声明：本文提供的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无...

04月27日13 views评论

阅读全文

Spring MVC + FastJSON：反序列化攻击是怎么一步步发生的？

🧠 Spring MVC 是怎么悄咪咪地调用了 FastJSON 来反序列化的？🌟 一句话总结：你只写了一句 @RequestBody Object data，Spring 就自动帮你用 FastJS...

04月25日代码审计13 views评论

阅读全文

FastJSON + MQ 实现反序列化漏洞攻击链

🚨 利用 FastJSON + MQ 实现反序列化漏洞攻击链在现代微服务架构中，消息中间件（如 Kafka、RocketMQ、RabbitMQ）被广泛用于服务解耦与异步通信。然而，这也带来了新的攻击面...

04月25日代码审计10 views评论

阅读全文

一文吃透 MyBatis 执行 SQL 的全过程，附源码解析！

🎯 MyBatis执行SQL的深入分析✅ MyBatis注入链路结构[Controller] → [Service] → [DAO] → [Mapper(XML/注解)] → [SQL执行]📌 注入可...

04月25日安全开发10 views评论

阅读全文

代码审计

PHP代审之微信公众号小说系统

最近因为二期公开课原因开始复习PHP代码审计，搞了几套源码由简到难审审，水水文章这套系统是做课件的时候搜到的漏洞案例，自己审审结果有新发现文章目录项目介绍环境搭建代码审计系统架构分析 ...

04月25日21 views评论

阅读全文

安全开发

Rust 编写的隐秘 Linux rootkit

特征该rootkit由多个模块组成（这里指的是Rust模块，而不是内核模块）：防御规避：隐藏文件、进程、网络连接等。钩子：钩住系统调用和 IDT虚拟机管理程序：创建虚拟机来执行恶意代码持久性：使 ro...

04月24日21 views评论

阅读全文

在线咨询

微信