安全开发 - 第 58 | CN-SEC 中文网

ZIP Slip

有研发的同学询问zip slip漏洞的修复，碰巧最近在批量找一些cms的zip slip漏洞，提供以下两种修复方式，仅供参考：修复方式1private static final int DEFAULT...

11月04日代码审计9 views评论

阅读全文

安全开发

鸿蒙（HarmonyOS）开发目录和解包目录对比

对比图app.json5配置文件简述1、app.json5 是应用的全局配置文件，它包含了应用的基本信息和全局配置，类似于Android中的AndroidManifest.xml。2、它定义了应用的包...

11月04日38 views评论

阅读全文

安全开发

【Cobalt-Strike-Start】使用 IntelliJ IDEA构建二次开发环境

何为反编译？顾名思义，反编译的的概念与编译相反，说白了就是将已封装好的程式还原到未封装的状态，目的是找出程序的源代码首先我们先找到 IntelliJ IDEA 中的 java-decompiler.j...

11月04日19 views评论

阅读全文

代码审计

15.Json.Net反序列化点（中篇）以及更多相关链

1.GetterSettingsPropertyValue链也是Json.Net很有牌面的专属链，而且看它也支持PropertyGrid、ComboBox、ListBox、CheckedListBox...

11月04日18 views评论

阅读全文

安全开发

SDL序列课程-第32篇-威胁建模篇-增量模型

增量模型也称为渐增模型，把软件产品作为一些列的增量构件来设计、编码、集成和测试。每个构件由多个相互作用的模块构成，并且能够完成特定的功能。分解时唯一必须遵守的约束条件是，当把新构件集成到现有软件中时，...

11月04日7 views评论

阅读全文

代码审计

通达OA未授权访问、前台SQL注入审计

声明：本文仅用于网络安全相关知识分享，环境为本机靶场，请严格遵守网络安全相关法律法规。未经授权利用本文相关技术从事违法活动的，一切后果由违法人自行承担！Jie安全公众号及作者不承担任何法律责任。CVE...

11月04日113 views评论

阅读全文

安全开发

Coding漫谈 | 唠唠C#覆写

最近因为一些原因又开始写C#了，以前一直认为C#就是microsoft版java（这两家已经打了很多年了不要审判我这个脚本小子），现在认真写写还是能发现不少不同的。作为一个备案，还是记录一下编程过程中...

11月04日15 views评论

阅读全文

安全开发

为什么代码安全在已加固环境中仍然重要

Why Code Security Matters - Even in Hardened Environments基础设施的强化使应用程序对攻击更加具有韧性。这些措施提高了攻击者的门槛，使得利用漏洞变...

11月03日29 views评论

阅读全文

代码审计

记一次某道CMS审计过程

扫码领资料获网安教程网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。0x1 概述因为前几天在P神的星球偶然看到一位大佬发...

11月03日23 views评论

阅读全文

代码审计

17.SerializationBinder安全问题与DataSetTypeSpoof链

1.SerializationBinder的安全问题前面一直都是纯分析反序列化链，还没学习过相关的防御机制，这不就来了吗。这里用Y4er师傅的demo学习一下：这里写了一个RCE类用于后续测试这里写了...

11月03日17 views评论

阅读全文

安全开发

现代红队基础免杀心法：内存扫描与主动防御

本文章的目标受众是困惑的初入免杀/红队武器开发人员。最近当一些人们讨论免杀时，我看到他们只关心shell加载，使用像msf、Cobalt Strike、Winos 这样的框架等等，像他们这样的人确实...

11月03日42 views评论

阅读全文

安全开发

正道：现代红队基础免杀心法：内存扫描与主动防御

本文章的目标受众是困惑的初入免杀/红队武器开发人员。最近当一些人们讨论免杀时，我看到他们只关心shell加载，使用像msf、Cobalt Strike、Winos 这样的框架等等，像他们这样的人确实喜...

11月03日27 views评论

阅读全文

ZIP Slip

鸿蒙（HarmonyOS）开发目录和解包目录对比

【Cobalt-Strike-Start】使用 IntelliJ IDEA构建二次开发环境

15.Json.Net反序列化点（中篇）以及更多相关链

SDL序列课程-第32篇-威胁建模篇-增量模型

通达OA未授权访问、前台SQL注入审计

Coding漫谈 | 唠唠C#覆写

为什么代码安全在已加固环境中仍然重要

记一次某道CMS审计过程

17.SerializationBinder安全问题与DataSetTypeSpoof链

现代红队基础免杀心法：内存扫描与主动防御

正道：现代红队基础免杀心法：内存扫描与主动防御

在线咨询

微信