安全开发 - 第 79 | CN-SEC 中文网

代码审计

Java安全之SnakeYaml漏洞分析与利用

1. 简介SnakeYaml是Java中解析yaml的库，而yaml是一种人类可读的数据序列化语言，通常用于编写配置文件等。yaml基本语法：大小写敏感使用缩进表示层级关系缩进只允许使用空格#表示注释...

09月28日17 views评论

阅读全文

代码审计

代码审计 | 黑白配之捕风捉影

0x01 前言今晚看到一个师傅公众号发布了一篇文章叫做：我兴致勃勃的点进去想白嫖，没想到通篇文章大部分都是打码的。挺搞心态的，幸好他的文章里面有指出鹰图指纹。为了不受限于人，我打算自己动手。0x02 ...

09月28日29 views评论

阅读全文

安全开发

自研内存马查杀工具Memshell_Kill

工具介绍随着攻防演练的愈演愈烈，对抗的技术也在不断提升，在攻防演练中攻击者常常为了不留痕迹以及进行权限维持会注入内存马，在内存马中又以tomcat类型和spring类型较多。有些系统又比较关键，可能...

09月28日38 views评论

阅读全文

代码审计

月老情侣交友盲盒4.0存在任意文件写入漏洞(RCE)

0x00 前言一款使用thinkphp开发的盲盒源码，4.0新版本主要是对防封防红做了很大的优化，功能也加了很多。这套源码比以前分享的盲盒源码多了默契匹配、同城匹配、随机匹配、...

09月28日38 views评论

阅读全文

安全开发

vue3+vite配置环境变量实现开发、测试、生产的区分

在vue的实际项目中都要经过开发、测试、然后上生产的阶段，在开发、测试的过程中往往会要频繁的切换开发、测试、生产等不同的环境。每个环境的配置有可能不一样，本文介绍如何通过vue3+vite配置环境变量...

09月28日35 views评论

阅读全文

代码审计

Java安全-URLDNS链审计

一、什么是URLDNS链 URLDNS链是Java安全中比较简单的一条利用链，无需使用任何第三方库，全依靠Java内置的一些类实现，但无法进行命令执行，只能实现对URl的访问探测（发起DNS请求），...

09月28日17 views评论

阅读全文

代码审计

代审实战｜奇奇怪怪的那些事

1、这套代码老早之前的了，没有拿到最新的，闲暇期间再拿起来看看这边不多说，这里一个文件上传。但是这套系统是springboot的，所以一开始并没有注意这个点。springboot不解析jsp是...

09月28日13 views评论

阅读全文

代码审计

某CMS源码RCE审计思路

一、前言这个依旧是一个学员审计出来的案例，今天拿出来分享一下，这个漏洞是基于phar反序列化的一个漏洞RCE利用方式，我们来查看漏洞点。二、漏洞分析首先这个代码是一个ThinkPH...

09月27日25 views评论

阅读全文

安全开发

软件测评中的缺陷等级划分以及缺陷管理流程

01缺陷等级划分S1级：发现影响被测系统正确运行的严重问题：——导致系统崩溃； ——出现不可挽救的数据丢失或损坏；——主业务流程出现断点； ——导致死机；——内存...

09月27日75 views评论

阅读全文

代码审计

JavaWeb之综合案例（天龙八部管理系统）

声明：请勿利用本公众号文章内的相关技术、工具从事非法测试，如因此造成一切不良后果与文章作者及本公众号无关！前面通过四个篇幅介绍了javaweb的基本知识，分别是：JavaWeb之HTTP、Tomcat...

09月27日17 views评论

阅读全文

安全开发

Nuclei-yaml脚本速成新手教程文件上传篇3

本文由安云安全内部群-鲁鲁师傅原创投稿前情提要文件上传篇3 上回我们说了用yaml编写文件上传漏洞的第一种情况“固定文件名+路径”，这次我们主要说第另外一种： 1、固定文件名+路径 2.固定上传路...

09月27日44 views评论

阅读全文

安全开发

使用pyqt5来开发图形化工具

本文由掌控安全学院 - 1198950xxx 投稿前言这里介绍一些PyQt的基本使用，以及一些常用的组件，以及如何使用Qt Designer设计图形化界面。一篇文章教会小白写图形化...

09月27日27 views评论

阅读全文

Java安全之SnakeYaml漏洞分析与利用

代码审计 | 黑白配之捕风捉影

自研内存马查杀工具Memshell_Kill

月老情侣交友盲盒4.0存在任意文件写入漏洞(RCE)

vue3+vite配置环境变量实现开发、测试、生产的区分

Java安全-URLDNS链审计

代审实战｜奇奇怪怪的那些事

某CMS源码RCE审计思路

软件测评中的缺陷等级划分以及缺陷管理流程

JavaWeb之综合案例（天龙八部管理系统）

Nuclei-yaml脚本速成新手教程文件上传篇3

使用pyqt5来开发图形化工具

在线咨询

微信