01前言ESPHP开发框架基础上开发而成的EasySNS极简社区为全新数据库架构和程序结构。本文以EasySNS_V1.6作为代码审计的目标,分享一个远程图片本地化导致Getshell的漏洞。02环境...
开源项目 | BurpSuite插件:phpStudy后门检测插件
背景phpStudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装...
你真的会代码审计吗?
正文: 安全圈里有句老话 一切的用户输入都是有害的 的确,我们的所有安全测试都是基于这一点的.既然 用户的一切输入都是有害的 那么怎样使这个危害显现出来呢,这就引入了安全的另一句话 有害的数据进入了危...
Java Web安全-代码审计
Java Web安全-代码审计 @Author 安百科技-凌天实验室-园长 @Email [email protected] @Date 2018-12-29 @Github javaw...
JAVA代码审计的一些Tips(附脚本)
概述 本文重点介绍JAVA安全编码与代码审计基础知识,会以漏洞及安全编码示例的方式介绍JAVA代码中常见Web漏洞的形成及相应的修复方案,同时对一些常见的漏洞函数进行例举。文章最后分享一个自动化查找危...
从零开始java代码审计系列(一)
此文为原创文章 作者:p0desta@先知社区 从php代码审计到java代码审计还是有很大不同的,语言特性,漏洞产生的点等等,很多人都是php入门,同样我也是,但是说实话,java也是必须要掌握...
【第1周】从代码层面理解java的00截断漏洞深入篇
4个月前写了一篇文章叫《从代码层面理解java的00截断漏洞》,由于当时出差新疆没时间深入,便在文末立了个有空继续深入的flag。今天我们通过跟踪jdk代码, 彻底搞清楚java中00截断的...
汇编语言学习笔记<标志寄存器>
标志寄存器的作用1) 存储相关指令的某些执行结果;2) 为CPU执行相关指令提供行为依据;3) 控制CPU的相关工作方式标...
C++实现IAT HOOK细节部分
IATHook的主要原理是替换导入的api的地址,将其地址改成我们的函数的地址,其缺点也很明显,如果你不知道我的函数叫什么,或者我的函数没 存在导入表中,你就无法使用IATHook了,IATHook主...
代码审计☞工具的准备工作
最近在做一些PHP代码审计的工作,在进行正式的代码审计之前,我推荐一套PHP代码审计全家桶:火狐浏览器 + sublime text + PHPstudy + Navicat premium + K8...
rsync认证协议分析及python类的实现
好久没发帖子,最近看到有坛友用python写了个口令扫描工具(https://www.t00ls.net/articles-28731.html),效果不错,同时作者提到了关于python对rsync...
324