最近在写工具,分析官方漏洞补丁给自己的工具添加上一些day,这些day可能用不到,万一有一天用到了呢 补丁链接 https://security.yonyou.com/#/noticeInfo?id=...
【代码审计】某无提示云挖矿4链盗u系统前台文件上传漏洞
点击上方蓝字关注我们 并设为星标 0x00 前言 项目编号:10033 内部编号:XY-101547 无授权提示云挖矿4链盗u系统,修复后台无法登录问题,代码全开源无后门,优化后台模板 修复...
某次前台注入审计记录NET语言
免责申明本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。一、前言 某天学员想让我审计一套NET程序...
重生之我在异世界做代码审计(BC篇)
免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 序言 某天晚上一位大哥,跟我说某个BC...
Java代码审计 | Alibaba Sentinel SSRF漏洞代码审计
内部学员投稿。首发于:https://xz.aliyun.com/news/18017学代码审计就找闪石星曜CyberSecurity。详情可点击下方链接了解。《JavaWeb代码审计企业级项目实战》...
PHP漏洞在白盒审计中的技巧(1)——PHP弱类型特性
一、漏洞简介U8cloud系统MeasureQueryByToolAction接口存在SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造成用户信息泄露。二、影响版本1.0,2....
【Java安全】Hessian反序列化攻击
点击上方蓝字关注我们 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。如有侵权烦请告知,我们...
关于CC链1中的一些问题分析
0x00. 前言CC链1已有很多前辈分析,刚开始还好,到了后面,总觉得学的迷迷糊糊,从各类资料中所学也是一知半解。有很多问题对于Java基础不扎实的我或类似朋友,可能比较吃力。索性,我记录一下除常规链...
某礼品卡电子券收卡系统存在前台SQL注入漏洞
点击上方蓝字关注我们 并设为星标0x00 前言一个先进、稳定、功能完善的回收交易平台, 通过技术对接,全面实现线上回收各类虚拟卡。销卡速度快,到账稳定。 解决浪费:直接面对用户回收 出户即可提交卡号卡...
Java内马尔安全 - Filter内存马分析
Filter内存马1.基础知识Filter正常是用来处理请求和相应的处理和过滤,如下图:来自 --- 中间件内存马注入&冰蝎连接如上图,Filter类似于一个网关的作用,请求需要先通过定义的F...
若依代码审计分析
环境:ruoyi 4.6 该版本漏洞还是不是少的 挑几个举例子把在 MyBatis框架中里${} 是未采用预编译形式的会把 ${} 占位符直接替换成参数值根据自写脚本得存在几处sql注入漏洞。以下可...
Java件组分析 - Fastjson1.2.(22-24)反序列化分析
2.2FastJson1.2.22-1.2.24 反序列化分析1.漏洞原理FastJson 反序列化是因为未对@type字段进行有效的校验导致可以传入恶意的类且反序列化的时候会自动调用setter和无...
196