代码审计 - 第 21 | CN-SEC 中文网

安全工具

开源：快速代码审计辅助工具

1. 开发 - CodeScan 2. 前言这里是详细解释下CodeScan的用法，之前偏向于快速的代码审计，于是就写了一个这种快速匹配Sink点的工具，省的每次点点点搜搜索了，Python属实不优...

09月29日54 views评论

阅读全文

一些免费好用的靶机渗透测试环境

一些免费好用的靶机渗透测试环境声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！来源 https://www.cnblo...

09月29日安全工具44 views评论

阅读全文

代码审计

代码审计 | 黑白配之捕风捉影

0x01 前言今晚看到一个师傅公众号发布了一篇文章叫做：我兴致勃勃的点进去想白嫖，没想到通篇文章大部分都是打码的。挺搞心态的，幸好他的文章里面有指出鹰图指纹。为了不受限于人，我打算自己动手。0x02 ...

09月28日27 views评论

阅读全文

安全工具

Java代码路由一键提取脚本

0x00 前言该脚本可用于辅助代码审计，快速提取Java项目代码中的路由，当前支持Servlet及Spring项目，暂不支持struts2等。大概编写思路是解析web.xml文件以及正则匹配Req...

09月27日33 views评论

阅读全文

安全文章

通过源码文件差异对比审计未公开1day

前言有些开源程序在更新日志里会写更新了XXX漏洞，但是互联网上还没有人公开这个漏洞代码，可以用本文的方法去审计出未公开的1day。代码差异对比工具：WinMerge 下载地址：htt...

09月27日21 views评论

阅读全文

代码审计

2024年最新新小剧场短剧影视系统代码审计(RCE)

点击上方蓝字关注我们并设为星标0x00 前言2024年最新新版小剧场短剧影视小程序源码+风口项目，短剧APP 小程序源码风口项目，短剧app 小程序 H5 多端程序对接了易支付，修复了众...

09月26日48 views评论

阅读全文

代码审计

第十七课-系统学习代码审计：Java反序列化基础-类加载过程和类加载器讲解

视频教程：( https://www.bilibili.com/video/BV1KT421k7ZE )主要内容：1、类加载过程2、jvm内置的三种类加载器3、双亲委派机制4、自定义类加载5、URLC...

09月26日27 views评论

阅读全文

安全文章

记一次代码审计之nbcio-boot从信息泄露到Getshell

原文首发在：奇安信攻防社区https://forum.butian.net/share/3698一、项目简介NBCIO 亿事达企业管理平台后端代码，基于jeecgboot3.0和flowable6.7...

09月26日31 views评论

阅读全文

安全文章

漏洞挖掘|电子商城类漏洞挖掘案例灵感复现

本篇文章共3500字，完全阅读全篇约4分钟，州弟学安全，只学有用的知识0x01 前言电子商城购物系统我们每天都能接触到，现在的商城系统，大多数已经在小程序、APP方向去开发了，因为灵活...

09月25日60 views评论

阅读全文

代码审计

代码审计指南(脱敏重新发) - Github开源Java项目

初入代码审计的师傅，苦于寻找开源的项目练练手，这里就结合Github上的开源项目进行简单审计，方便师傅们跟随步骤学习思路。开源挖洞思路仅供参考，不得使用漏洞于非法用途。注：现在加入Fr...

09月24日42 views评论

阅读全文

安全文章

xstream反序列化漏洞打内存马

xstream组件还是用的比较多的。实战当中也有很多xstrem漏洞引发的RCE漏洞案例如下图所示使用xstream对可控数据进行反序列化使用xslt链内存马攻击成功原文始发于微信公众号（代码审计St...

09月23日30 views评论

阅读全文

代码审计

代码审计指南 - Github开源Java项目

初入代码审计的师傅，苦于寻找开源的项目练练手，这里就结合Github上的开源项目进行简单审计，方便师傅们跟随步骤学习思路。开源挖洞思路仅供参考，不得使用漏洞于非法用途。注：现在加入Freebuf知识帮...

09月22日45 views评论

阅读全文

在线咨询

微信