01前言 PHPYun是一款国内流行的人才网站管理系统,做了一些测试,发现了一点问题,做个记录,未深入。02环境搭建PHPYun官网:https://ww...
【代码审计】MIPCMS 远程写入配置文件Getshell
00前言 MIPCMS - 基于百度MIP移动加速器SEO优化后的网站系统。在审计代码中,发现一个可以远程写入配置文件Getshell的漏洞,感觉挺有意思的,分享一下思路。0...
【代码审计】CLTPHP_v5.5.3 任意文件上传漏洞
00前言CLTPHP采用ThinkPHP开发,后台采用Layui框架的内容管理系统。在代码审计中,发现了一个无需权限的任意文件上传漏洞,可批量,已提交CNVD,分享一下思路。01环境搭建CLTPHP官...
【代码审计】EasySNS_V1.6远程图片本地化导致Getshell
01前言ESPHP开发框架基础上开发而成的EasySNS极简社区为全新数据库架构和程序结构。本文以EasySNS_V1.6作为代码审计的目标,分享一个远程图片本地化导致Getshell的漏洞。02环境...
你真的会代码审计吗?
正文: 安全圈里有句老话 一切的用户输入都是有害的 的确,我们的所有安全测试都是基于这一点的.既然 用户的一切输入都是有害的 那么怎样使这个危害显现出来呢,这就引入了安全的另一句话 有害的数据进入了危...
Java Web安全-代码审计
Java Web安全-代码审计 @Author 安百科技-凌天实验室-园长 @Email [email protected] @Date 2018-12-29 @Github javaw...
JAVA代码审计的一些Tips(附脚本)
概述 本文重点介绍JAVA安全编码与代码审计基础知识,会以漏洞及安全编码示例的方式介绍JAVA代码中常见Web漏洞的形成及相应的修复方案,同时对一些常见的漏洞函数进行例举。文章最后分享一个自动化查找危...
从零开始java代码审计系列(一)
此文为原创文章 作者:p0desta@先知社区 从php代码审计到java代码审计还是有很大不同的,语言特性,漏洞产生的点等等,很多人都是php入门,同样我也是,但是说实话,java也是必须要掌握...
【第1周】从代码层面理解java的00截断漏洞深入篇
4个月前写了一篇文章叫《从代码层面理解java的00截断漏洞》,由于当时出差新疆没时间深入,便在文末立了个有空继续深入的flag。今天我们通过跟踪jdk代码, 彻底搞清楚java中00截断的...
代码审计☞工具的准备工作
最近在做一些PHP代码审计的工作,在进行正式的代码审计之前,我推荐一套PHP代码审计全家桶:火狐浏览器 + sublime text + PHPstudy + Navicat premium + K8...
179