安全开发 - 第 53 | CN-SEC 中文网

代码审计

php代码审计学习记录-二次安装漏洞-02

ZZCMS201910代码审计，此次审计的目的是为了记录学习过程审计cms的重装业务逻辑并实现bypass达到系统重装的目的漏洞点http://xxxxxxxx/install/index.phpCm...

11月27日9 views评论

阅读全文

安全开发

认识kafka

Kafka到底是个啥？用来干嘛的？官方定义如下：Kafka is used for building real-time data pipelines and streaming apps. It i...

11月27日9 views评论

阅读全文

代码审计

某短视频系统视频知识付费系统存在前台任意文件读取漏洞

0x00 前言 FastAdmin框架短视频系统/视频知识付费源码/附带小说系统系统视频支持包月、单独购买、观影卷等功能源码附带小说系统源码需要配置高服务器和VDN加速 Fofa指...

11月27日33 views评论

阅读全文

安全开发

如何单机实时分析日均数亿安全日志？

一、前言在甲方做安全建设的时候，不可避免遇到大数量级的数据进行处理、分析的任务，比如分析整个公司的WAF日志、进程派生数据、K8s日志等等去发现风险，尤其在初期做反入侵的策略的时候，需要及时告警但又频...

11月27日31 views评论

阅读全文

代码审计

JAVA代码审计-悟空crm客户管理系统fastjson漏洞

一. 本地搭建版本：Wukong CRM9.01. 搭建需要使用myql数据库和redis两个，使用phpstudy搭建即可，mysql数据库的文件为WukongCRM-9.0-JAVA-9.0.1_...

11月26日25 views评论

阅读全文

代码审计

【代码审计】一次权限绕过思路

点击蓝字关注我们某次朋友突然丢给我一个系统，让我帮忙看看能不能找点漏洞打进去。通过指纹在fofa一看是一个几百站点的通用。后来经过我一顿摸索找到了源码。是采用spring开发，鉴权采用的是jwt方法...

11月26日53 views评论

阅读全文

代码审计

21.从Altserialization到SessionState反序列化再到SQL Server数据库隔山打牛

1.关于Altserialization（第一部分只是作为知识点的铺垫，真正有趣且笔者认为实战中能用得上的部分放在第二小节往后，不过第一部分其实也是挺ez的）下面就正式进入ysoserial.net的...

11月26日13 views评论

阅读全文

代码审计

Ruby 3.4 通用 RCE 反序列化小工具链

我在 2018 年的一篇博客文章中分享了第一个利用 Ruby 反序列化的通用小工具链。从那时起，Ruby 已经有许多新版本，有时包括破坏已发布小工具链的代码更改。到目前为止，这些破坏只是暂时的，信息安...

11月26日26 views评论

阅读全文

代码审计

JFinalCMS 代码审计

JFinalCms是开源免费的JAVA企业网站开发建设管理系统，极速开发，动态添加字段，自定义标签，动态创建数据库表并crud数据，数据库备份、还原，动态添加站点(多站点功能)，一键生成模板代码。环境...

11月26日8 views评论

阅读全文

安全开发

在 ASM 中返回函数结果

首先讲一下 C 的库函数 fgets()。char *fgets(char *str, int n, FILE *stream);str：指向存储输入字符串的缓冲区的指针。n：要读取的最大字符数（包括...

11月25日10 views评论

阅读全文

代码审计

代码审计之旅之百家CMS

前言之前审计的CMS大多是利用工具，即Seay+昆仑镜联动扫描出漏洞点，而后进行审计。感觉自己的能力仍与零无异，因此本次审计CMS绝大多数使用手动探测，即通过搜索危险函数的方式进行漏洞寻找，以此来提升...

11月24日29 views评论

阅读全文

代码审计

Java安全之代码反射及反射到命令执行（大量代码案例版）

一、Java反射基础其实，在Java命令执行和Java数据库操作章节，我们就已经简单接触到Java反射了。一是Java命令执行章节中，使用java.lang.ProcessImpl的...

11月24日71 views评论

阅读全文

php代码审计学习记录-二次安装漏洞-02

认识kafka

某短视频系统视频知识付费系统存在前台任意文件读取漏洞

如何单机实时分析日均数亿安全日志？

JAVA代码审计-悟空crm客户管理系统fastjson漏洞

【代码审计】一次权限绕过思路

21.从Altserialization到SessionState反序列化再到SQL Server数据库隔山打牛

Ruby 3.4 通用 RCE 反序列化小工具链

JFinalCMS 代码审计

在 ASM 中返回函数结果

代码审计之旅之百家CMS

Java安全之代码反射及反射到命令执行（大量代码案例版）

在线咨询

微信