安全开发 - 第 52 | CN-SEC 中文网

代码审计

PyYAML反序列化深入刨析

基础知识Yaml简介YAML是一种直观的能够被电脑识别的的数据序列化格式，容易被人类阅读，并且容易和脚本语言交互，YAML类似于XML，但是语法比XML简单得多，对于转化成数组或可以hash的数据时是...

11月21日18 views评论

阅读全文

安全开发

AI自动编写Sqlmap的tamper的实现计划

有兴趣的可以加入微信群一起讨论在当今网络安全领域，针对 Web 应用的 SQL 注入攻击仍然是一个常见的威胁。为了应对不同数据库和 WAF（Web 应用防火墙）规则的多样性，Sqlmap 提供了 ta...

11月21日13 views评论

阅读全文

代码审计

某次代码审计从0day变Nday的路程（漏洞分析）

免责申明本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。一、前言在昨天一位师傅联系到我，说有...

11月21日12 views评论

阅读全文

代码审计

Java安全-深度剖析CC链反序列化

作者：yueji0j1anke首发于公号：剑客古月的安全屋字数：3813阅读时间: 15min声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的...

11月21日5 views评论

阅读全文

代码审计

某OA代码审计过程

此OA听过，但从来没有去研究过，所以简单分析研究一下，发现此OA并不复杂且因为闭源的原因所以分析起来比较轻松。模板注入查看JSP文件通过Template名字或者一些代码信息能够发现是以模板的形式进...

11月21日15 views评论

阅读全文

代码审计

某景人力系统文件上传分析

某景人力系统文件上传分析起因是微信上刷到了如下文章，作为为数不多看过源码的系统，好奇心瞬间拉满，去年也发过一篇关于这个系统的文章，但都是些价值不大的漏洞，详情见公众号之前的文章《鸡肋文件上...

11月21日13 views评论

阅读全文

代码审计

JavaSec | JDBC反序列化原理和调用链细节分析

扫码领资料获网安教程本文由掌控安全学院 - nn0nkey 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）基础知识JDBC简介JDBC（Jav...

11月20日21 views评论

阅读全文

代码审计

一次黑盒转变白盒前台漏洞审计过程

免责申明本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。一、前言在一天跟某位师傅闲聊的时候...

11月20日10 views评论

阅读全文

安全开发

关于 DevOps 与 SDL 的一些胡思乱想

研发安全一方面是流程制度的建立，但是更重要的是让研发团队真是落地执行起来，流程搭建完成，但是落地实施方面研发团队不知道如何下手，那么研发安全做的都是表面上的工作，安全是一个产品的生命线，不能纯在表面...

11月20日11 views评论

阅读全文

代码审计

某微信万能门店小程序系统存在任意文件读取漏洞

点击上方蓝字关注我们并设为星标 0x00 前言 █ 远山起风又起雾无人知我来时路 █ 万能门店小程序DIY建站无限独立版非微擎应用，独立版是基于国内很火的ThinkPHP5框架开发的，适用于各行各...

11月20日15 views评论

阅读全文

安全开发

BOF 开发 - 无需 DFR 编写 Beacon 对象文件

Writing Beacon Object Files Without DFR介绍Beacon 对象文件已经在红队中变得非常流行，因为它们可以在不需要包含反射 DLL 或.NET 程序集的情况下，动态...

11月20日16 views评论

阅读全文

安全开发

红队攻防实战篇-冰蝎魔改

NEWS点击蓝字关注我们Onets声明本文属于OneTS安全团队成员Gal0nYu的原创文章，转载请声明出处！本文章仅用于学习交流使用，因利用此文信息而造成的任何直接或间接的后果及损失，均由使用者本...

11月20日28 views评论

阅读全文

在线咨询

微信