安全开发 - 第 50 | CN-SEC 中文网

安全开发

如何单机实时分析日均数亿安全日志？

一、前言在甲方做安全建设的时候，不可避免遇到大数量级的数据进行处理、分析的任务，比如分析整个公司的WAF日志、进程派生数据、K8s日志等等去发现风险，尤其在初期做反入侵的策略的时候，需要及时告警但又频...

11月27日28 views评论

阅读全文

代码审计

JAVA代码审计-悟空crm客户管理系统fastjson漏洞

一. 本地搭建版本：Wukong CRM9.01. 搭建需要使用myql数据库和redis两个，使用phpstudy搭建即可，mysql数据库的文件为WukongCRM-9.0-JAVA-9.0.1_...

11月26日23 views评论

阅读全文

代码审计

【代码审计】一次权限绕过思路

点击蓝字关注我们某次朋友突然丢给我一个系统，让我帮忙看看能不能找点漏洞打进去。通过指纹在fofa一看是一个几百站点的通用。后来经过我一顿摸索找到了源码。是采用spring开发，鉴权采用的是jwt方法...

11月26日52 views评论

阅读全文

代码审计

21.从Altserialization到SessionState反序列化再到SQL Server数据库隔山打牛

1.关于Altserialization（第一部分只是作为知识点的铺垫，真正有趣且笔者认为实战中能用得上的部分放在第二小节往后，不过第一部分其实也是挺ez的）下面就正式进入ysoserial.net的...

11月26日13 views评论

阅读全文

代码审计

Ruby 3.4 通用 RCE 反序列化小工具链

我在 2018 年的一篇博客文章中分享了第一个利用 Ruby 反序列化的通用小工具链。从那时起，Ruby 已经有许多新版本，有时包括破坏已发布小工具链的代码更改。到目前为止，这些破坏只是暂时的，信息安...

11月26日25 views评论

阅读全文

代码审计

JFinalCMS 代码审计

JFinalCms是开源免费的JAVA企业网站开发建设管理系统，极速开发，动态添加字段，自定义标签，动态创建数据库表并crud数据，数据库备份、还原，动态添加站点(多站点功能)，一键生成模板代码。环境...

11月26日6 views评论

阅读全文

安全开发

在 ASM 中返回函数结果

首先讲一下 C 的库函数 fgets()。char *fgets(char *str, int n, FILE *stream);str：指向存储输入字符串的缓冲区的指针。n：要读取的最大字符数（包括...

11月25日10 views评论

阅读全文

代码审计

代码审计之旅之百家CMS

前言之前审计的CMS大多是利用工具，即Seay+昆仑镜联动扫描出漏洞点，而后进行审计。感觉自己的能力仍与零无异，因此本次审计CMS绝大多数使用手动探测，即通过搜索危险函数的方式进行漏洞寻找，以此来提升...

11月24日28 views评论

阅读全文

代码审计

Java安全之代码反射及反射到命令执行（大量代码案例版）

一、Java反射基础其实，在Java命令执行和Java数据库操作章节，我们就已经简单接触到Java反射了。一是Java命令执行章节中，使用java.lang.ProcessImpl的...

11月24日61 views评论

阅读全文

安全开发

手把手教你使用 Python 调用 ChatGPT-3.5-API

来自公众号：简说Python近期 OpenAI 开放了两个新模型的api接口，专门为聊天而生的 gpt-3.5-turbo 和 gpt-3.5-turbo-0301。“ChatGPT is power...

11月24日57 views评论

阅读全文

代码审计

Yaml反序列化漏洞原理与实践

SnakeYaml序列化与反序列化SnakeYaml是用来解析yaml的格式，可用于Java对象的序列化、反序列化。此漏洞起因是错误使用了序列化方法，并且反序列化了不可信的数据，故理论上SnakeYa...

11月24日20 views评论

阅读全文

代码审计

织梦CMS代码审计

现在只对常读和星标的公众号才展示大图推送，建议大家能把渗透安全团队“设为星标”，否则可能就看不到了啦！织梦CMS源码获取地址https://www.dedecms.com/download，可以看官方...

11月24日16 views评论

阅读全文

如何单机实时分析日均数亿安全日志？

JAVA代码审计-悟空crm客户管理系统fastjson漏洞

【代码审计】一次权限绕过思路

21.从Altserialization到SessionState反序列化再到SQL Server数据库隔山打牛

Ruby 3.4 通用 RCE 反序列化小工具链

JFinalCMS 代码审计

在 ASM 中返回函数结果

代码审计之旅之百家CMS

Java安全之代码反射及反射到命令执行（大量代码案例版）

手把手教你使用 Python 调用 ChatGPT-3.5-API

Yaml反序列化漏洞原理与实践

织梦CMS代码审计

在线咨询

微信