安全开发 - 第 74 | CN-SEC 中文网

安全开发

极方便的蚁剑动态调试[自定义webshell编码器的前摇]

蚁剑源码结构网上有很多webshell连接工具，主流的有蚁剑、哥斯拉、冰蝎等，像中国菜刀(China Chopper)、Weevely、Cknife、天蝎等工具因为历史原因不更新，或者流行度小的缘故，...

09月29日31 views评论

阅读全文

代码审计

dependecy check 使用教程

提前祝各位大佬端午节安康，假期快乐！！！环境准备1、下载源代码git clone --depth 1 https://github.com/jeremylong/DependencyCheck.git...

09月28日50 views评论

阅读全文

代码审计

某微SQL注入分析长文

==========正文==========‍‍ 首先找到存在注入的server.jsp文件，发现该页面会接受一个参数名为invoker的参数然后对该参数进行了判空和前缀检查。从页面中...

09月28日49 views评论

阅读全文

代码审计

Java安全之SnakeYaml漏洞分析与利用

1. 简介SnakeYaml是Java中解析yaml的库，而yaml是一种人类可读的数据序列化语言，通常用于编写配置文件等。yaml基本语法：大小写敏感使用缩进表示层级关系缩进只允许使用空格#表示注释...

09月28日17 views评论

阅读全文

代码审计

代码审计 | 黑白配之捕风捉影

0x01 前言今晚看到一个师傅公众号发布了一篇文章叫做：我兴致勃勃的点进去想白嫖，没想到通篇文章大部分都是打码的。挺搞心态的，幸好他的文章里面有指出鹰图指纹。为了不受限于人，我打算自己动手。0x02 ...

09月28日26 views评论

阅读全文

安全开发

自研内存马查杀工具Memshell_Kill

工具介绍随着攻防演练的愈演愈烈，对抗的技术也在不断提升，在攻防演练中攻击者常常为了不留痕迹以及进行权限维持会注入内存马，在内存马中又以tomcat类型和spring类型较多。有些系统又比较关键，可能...

09月28日38 views评论

阅读全文

代码审计

月老情侣交友盲盒4.0存在任意文件写入漏洞(RCE)

0x00 前言一款使用thinkphp开发的盲盒源码，4.0新版本主要是对防封防红做了很大的优化，功能也加了很多。这套源码比以前分享的盲盒源码多了默契匹配、同城匹配、随机匹配、...

09月28日35 views评论

阅读全文

安全开发

vue3+vite配置环境变量实现开发、测试、生产的区分

在vue的实际项目中都要经过开发、测试、然后上生产的阶段，在开发、测试的过程中往往会要频繁的切换开发、测试、生产等不同的环境。每个环境的配置有可能不一样，本文介绍如何通过vue3+vite配置环境变量...

09月28日32 views评论

阅读全文

代码审计

Java安全-URLDNS链审计

一、什么是URLDNS链 URLDNS链是Java安全中比较简单的一条利用链，无需使用任何第三方库，全依靠Java内置的一些类实现，但无法进行命令执行，只能实现对URl的访问探测（发起DNS请求），...

09月28日17 views评论

阅读全文

代码审计

代审实战｜奇奇怪怪的那些事

1、这套代码老早之前的了，没有拿到最新的，闲暇期间再拿起来看看这边不多说，这里一个文件上传。但是这套系统是springboot的，所以一开始并没有注意这个点。springboot不解析jsp是...

09月28日13 views评论

阅读全文

代码审计

某CMS源码RCE审计思路

一、前言这个依旧是一个学员审计出来的案例，今天拿出来分享一下，这个漏洞是基于phar反序列化的一个漏洞RCE利用方式，我们来查看漏洞点。二、漏洞分析首先这个代码是一个ThinkPH...

09月27日24 views评论

阅读全文

安全开发

软件测评中的缺陷等级划分以及缺陷管理流程

01缺陷等级划分S1级：发现影响被测系统正确运行的严重问题：——导致系统崩溃； ——出现不可挽救的数据丢失或损坏；——主业务流程出现断点； ——导致死机；——内存...

09月27日72 views评论

阅读全文

极方便的蚁剑动态调试[自定义webshell编码器的前摇]

dependecy check 使用教程

某微SQL注入分析长文

Java安全之SnakeYaml漏洞分析与利用

代码审计 | 黑白配之捕风捉影

自研内存马查杀工具Memshell_Kill

月老情侣交友盲盒4.0存在任意文件写入漏洞(RCE)

vue3+vite配置环境变量实现开发、测试、生产的区分

Java安全-URLDNS链审计

代审实战｜奇奇怪怪的那些事

某CMS源码RCE审计思路

软件测评中的缺陷等级划分以及缺陷管理流程

在线咨询

微信