安全开发 - 第 79 | CN-SEC 中文网

代码审计

MeterSphere的一次越权审计

1MeterSphere简介MeterSphere是一个一站式开源持续测试平台，它提供了测试跟踪、接口测试、UI测试和性能测试等功能。它全面兼容JMeter、Selenium等主流开源标准，助力开发和...

09月10日15 views评论

阅读全文

代码审计

Ofcms1.1.3版本审计

越权重置密码：漏洞复现：新增用户test密码:111111,并登录test用户看见为test用户，点击修改密码，抓包，将user_id修改为1，则成功修改管理员密码代码分析：根据数据包找接口syst...

09月10日19 views评论

阅读全文

代码审计

代码审计 | API批量分配导致的普通用户垂直越权到admin

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！什么是批量分配？批量分配（也称为自动绑定）可能会无意中创建隐藏参数。当软件...

09月09日39 views评论

阅读全文

安全开发

SDL序列课程-第23篇-SDLC与DevSecOps区别篇也进行总结

　　为什么要弄SDLC与DevSecOps区别篇呢，据我的了解、问了很多人，SDL和SDLC的区别在于哪里?其实很多人都讲不清楚，所以才出了这个序列的课程。　　主要很多人还弄不清楚什么是DevSecO...

09月09日23 views评论

阅读全文

安全开发

.NET技巧 - 控制台应用隐藏窗口

.NET技巧 - 控制台应用隐藏窗口前言起初我通过C#创建控制台应用程序免杀shellcode加载器时，默认会启动一个cmd控制台窗口但当我们希望将其免杀loader用于钓鱼时，我们必然不希望出现这种...

09月09日27 views评论

阅读全文

代码审计

.NET反序列化漏洞类型以及案例分析（1）-LosFormatter

前言笔者之前在学习.net代码审计时，看到了有许多种反序列化漏洞类型，但发现市面上爆出的.net反序列化相关的漏洞相较于java却少之又少，漏洞后利用工具和学习案例也是及其的难找，本系列文章会对国内....

09月09日66 views评论

阅读全文

代码审计

继上一次权限绕过漏洞代码审计

免责申明本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。一、前言上一次在审计过程当中审计出来...

09月06日28 views评论

阅读全文

学习一种批量发邮件的方法（python）

今天介绍一个自动化办公技巧，如何批量发邮件。最近我被分到了一个“苦哈哈”的工作，给客户批量发送威胁情报邮件。一次要发几十封，我心很累。于是我找到了这么个方法，还挺好用，分享给我的读者朋友们。一开始我还...

09月05日安全开发29 views评论

阅读全文

代码审计

JNDI注入(基础篇)

点击蓝字，关注我们一、什么是JNDI JNDI(Java Naming and Directory Interface)是一种应用程序编程接口（API），它为使用Java编程语言编写的应用程序提供命...

09月03日37 views评论

阅读全文

安全开发

樊老师：软件安全设计

制定安全需求“需要预先考虑安全和隐私”是安全系统开发的一个基本方面。定义软件项目可信度要求的最佳点是在初始规划阶段。这种早期的需求定义允许开发团队确定关键的里程碑和可交付成果，并允许以最大限度地减少对...

09月03日15 views评论

阅读全文

代码审计

thinkphp8 反序列化分析

寻找source点使用php8运行，composer create-project topthink/think thinkphp8phpstudy下载php8，它的php8配置了debug3，因此配...

09月03日35 views评论

阅读全文

安全开发

功能安全软件架构

点击上方蓝字谈思实验室获取更多汽车网络安全资讯1. E-GAS 安全架构思想汽车功能安全旨在把电子电气系统失效而导致的人身危害风险控制在合理范围内。下图是常见的电子电气系统硬件构成图，一个电子电气系统...

08月31日21 views评论

阅读全文

MeterSphere的一次越权审计

Ofcms1.1.3版本审计

代码审计 | API批量分配导致的普通用户垂直越权到admin

SDL序列课程-第23篇-SDLC与DevSecOps区别篇也进行总结

.NET技巧 - 控制台应用隐藏窗口

.NET反序列化漏洞类型以及案例分析（1）-LosFormatter

继上一次权限绕过漏洞代码审计

学习一种批量发邮件的方法（python）

JNDI注入(基础篇)

樊老师：软件安全设计

thinkphp8 反序列化分析

功能安全软件架构

在线咨询

微信