代码审计 - 第 56 | CN-SEC 中文网

代码审计

分享案例 | .NET代码审计之任意文件读取

为了更好.NET内置多种方法可用于文件读取，文件流FileStream，文本流StreamReader，二进制读取BinaryReaderFile.OpenRead某CMS案例读取文件内容返回byte...

10月08日123 views评论

阅读全文

代码审计

PHP代码审计系列基础文章（一）之SQL注入漏洞篇

嗨，朋友你好，我是闪石星曜CyberSecurity创始人Power7089。今天为大家带来PHP代码审计基础系列文章第一篇之SQL注入篇。这是【炼石计划@PHP代码审计】知识星球第二阶段的原创基础系...

10月07日53 views评论

阅读全文

代码审计

JAVA代码审计业务安全Checklist

类别测试项认证鉴权登录密码是否加密是否可猜解用户名是否可批量注册用户是否存在验证码验证码有效性是否登录会话固定会话ID是否足够复杂注销功能是否有效登录身份校验算法是否可逆修改密码处是否验证旧密码Coo...

10月05日115 views评论

阅读全文

代码审计

实战分享 | 记一次较为详细的代码审计过程（建议收藏）

前言本次审计的话是Seay+昆仑镜进行漏洞扫描Seay的话它可以很方便的查看各个文件，而昆仑镜可以很快且扫出更多的漏洞点，将这两者进行结合起来，就可以发挥更好的效果。昆仑镜官方地址https://gi...

10月05日59 views评论

阅读全文

代码审计

变量覆盖漏洞函数的简单分析

食用须知：大佬直接退出关闭不要浪费时间，本文章适用于CTF比赛的web新手和初次入门代码审计的新手代码审计的方式一般分为三种；一种是直接通篇阅读挨个对每一个功能点进行测试，第二种还有就是直接定位危险函...

10月05日25 views评论

阅读全文

安全工具

干货|渗透知识库集合

知识星球渗透知识库（HACK之道）汇集最全、最新的安全知识库，内容不限于红队攻防实战、内网渗透、代码审计、社工、安卓逆向、CTF比赛技巧、安全运维、应急响应、等保、企业安全建设、安全运营、漏洞复现、P...

09月29日82 views评论

阅读全文

安全工具

干货|安全攻防知识库大集合

09月29日60 views评论

阅读全文

安全文章

银行Java站SSRF组合洞打法造成的严重危害

Part1前言这篇文章源于之前做的某银行的红队评估项目，第一次打进去用了一个客服系统的0day漏洞，而且一直打到了银行的核心区。半年后项目续签，开始了第2轮红队评估项目，再想打进去就非常困难了。代码审...

09月25日54 views评论

阅读全文

代码审计

bluecmsPHP代码审计(自学)

##0x00 前言大家好，我是小軍，在此，我做一个简单的代码审计思路学习这次审计的目标是bluecms这次我将选择用这个cms案例分析## 0x01 环境搭建Phpstudy 2018Bluecms ...

09月25日68 views评论

阅读全文

代码审计

案例分享 | .NET代码审计之任意文件读取(2)

1. 文件下载文件下载也算是另一种文件读取的方式，在.NET里代码审计时需关注以下关键特征Response.ContentType = "application/octet-str...

09月20日106 views评论

阅读全文

安全文章

某知名系统漏洞挖掘与利用思路探索

一、引言金万维旗下系列产品存在信息泄漏、sql注入等漏洞，配合后台应用的功能可直接获取服务器权限。说起金万维可能有的小伙伴没听过，但以下界面经常做攻防演练的小伙伴应该不会陌生：通过搜索指纹 body=...

09月19日62 views评论

阅读全文

代码审计

代码审计集合-3

CSCMS代码审计前言今天逛补天社区的时候看到了一篇CSCMS代码审计的文章，于是自己也下了一个CSCMS来练练手。我目前挖的有以下漏洞。SQL注入任意文件删除任意文件上传后台phar反序列化CMS分...

09月19日44 views评论

阅读全文

分享案例 | .NET代码审计之任意文件读取

PHP代码审计系列基础文章（一）之SQL注入漏洞篇

JAVA代码审计业务安全Checklist

实战分享 | 记一次较为详细的代码审计过程（建议收藏）

变量覆盖漏洞函数的简单分析

干货|渗透知识库集合

干货|安全攻防知识库大集合

银行Java站SSRF组合洞打法造成的严重危害

bluecmsPHP代码审计(自学)

案例分享 | .NET代码审计之任意文件读取(2)

某知名系统漏洞挖掘与利用思路探索

代码审计集合-3

在线咨询

微信