安全开发 - 第 95 | CN-SEC 中文网

代码审计

某TP拼团零售商城系统RCE漏洞审计

0x00 前言 ThinkPHP5 拼团拼购系统，支持热门商品，余额总览，红包分销，商品销售，购物车等功能，后台使用管理系统所构建. Fofa:"/public/static/plugins/zept...

07月20日64 views评论

阅读全文

代码审计

反序列化学习之路-Shiro550

前言在CC链反序列化基础过后，我们接着分析shiro系列的两个经典反序列化漏洞550和721，本篇先对Shiro-550进行代码分析环境搭建1.下载文件1. jdk8u652.tomcat8 （htt...

07月20日21 views评论

阅读全文

安全开发

如何用Paramiko和多线程让SSH远程命令飞一般执行？

点击蓝字RECRUIT关注我们❝大家好！我是一个热衷于分享IT技术的up主。在这个公众号里，我将为大家带来最新、最实用的技术干货，从编程语言到前沿科技，从软件开发到网络安全。希望通过我的分享，能够帮助...

07月20日63 views评论

阅读全文

安全开发

侦察脚本编写之爆破子域名

大家好，在前面的内容中，我们已经学习了如何编写侦察脚本。但是作者仅仅讲解举例了自动化crt.sh、nmap端口爆破和Dirsearch爆破url。本文我们给出爆破子域名的自动化脚本domain.sh代...

07月19日21 views评论

阅读全文

安全开发

论报文加密加签场景下如何高效的进行渗透测试

01前言最新的测试中，经常遇到HTTP报文加密/加签传输的情况，这导致想要查看和修改明文报文很不方便。之前应对这种情况我们有几种常见的办法解决，比如使用burpy插件、在Burp上下游使用mitm...

07月19日18 views评论

阅读全文

安全开发

简析漏洞生命周期管理的价值与关键要求

开展全面且持续的漏洞管理工作，对于企业组织改善数字化应用安全状况，降低潜在风险，并保持数字资产的完整性和可信度至关重要。做好漏洞管理并不容易，组织不仅需要拥有健全的漏洞管理策略，同时还要辅以明确定义的...

07月19日62 views评论

阅读全文

代码审计

『代码审计』ysoserial CC7 利用链分析

作者：ICDAT介绍：这篇文章主要是对ysoserial中CC7反序列化利用链进行分析。 0x00 前言上一篇文章本来是该分析CC7利用链的，但是因为遇到了Jdk7u21利用链的漏洞，就先进行了Jd...

07月19日13 views评论

阅读全文

代码审计

九维团队-绿队（改进）| 梦想家CMS审计记录

前言注：审计环境均为本地搭建，非生产环境。环境搭建：下载地址：https://gitee.com/iteachyou/dreamer_cms/releases审计版本：Previous Rele...

07月19日26 views评论

阅读全文

代码审计

CVE-2024-32030 Scala反序列化链分析

前言 Kafka UI是Apache Kafka管理的开源Web UI。Kafka UI API允许用户通过指定网络地址和端口连接到不同的Kafka brokers。作为一个独立的功能，它还提供了通过...

07月19日36 views评论

阅读全文

安全开发

SDL checklist

前言SDL的前期阶段包含了需求分析和设计阶段，这个阶段有不少沟通工作，项目经理、产品经理甚至需求方都可能会涉及，在梳理各开发条线的项目情况后，需要给出相应的建议。在这里，一份Checklist可能会很...

07月19日31 views评论

阅读全文

2024 年最佳网络安全 Python 库

简介：在网络安全这个高风险的世界里，选择正确的工具可能意味着是入侵还是防弹防御之间的区别。随着网络威胁不断升级，越来越多的安全专业人员选择使用 Python 作为他们的首选武器。 87%...

07月19日安全开发114 views评论

阅读全文

代码审计

第六课-系统学习代码审计：表达式注入之SpEL(Spring表达式)注入

视频讲解：https://www.bilibili.com/video/BV1KT421k7ZE/主要内容：SpEL的简单使用SpEL注入payload讲解SpringBoot的SpEL注入漏洞分析4...

07月19日91 views评论

阅读全文

某TP拼团零售商城系统RCE漏洞审计

反序列化学习之路-Shiro550

如何用Paramiko和多线程让SSH远程命令飞一般执行？

侦察脚本编写之爆破子域名

论报文加密加签场景下如何高效的进行渗透测试

简析漏洞生命周期管理的价值与关键要求

『代码审计』ysoserial CC7 利用链分析

九维团队-绿队（改进）| 梦想家CMS审计记录

CVE-2024-32030 Scala反序列化链分析

SDL checklist

2024 年最佳网络安全 Python 库

第六课-系统学习代码审计：表达式注入之SpEL(Spring表达式)注入

在线咨询

微信