代码审计 - 第 63 | CN-SEC 中文网

代码审计

炼石计划之JAVA代码审计

加入炼石计划一、【炼石计划知识星球简介】炼石计划专注于WEB安全入门，JavaWeb代码审计入门破壁。从基础概念知识开始学习，配合项目级系统实战，提升自己真正的技术。️炼石计划目前几大核心板块：①、（...

04月23日124 views评论

阅读全文

SecIN安全技术社区

一次代码审计打点

前言在一次攻防项目中遇到了一个站点，看着有点通用cms的样子，于是去资产测绘平台发现存在上千个资产，当时就想着看看资产测绘平台上的资产是否有存在源码泄露然而并没有，后续便通过网盘找到对应的系统安装包...

04月23日55 views已关闭评论

阅读全文

代码审计

.NET高级代码审计(第12课) Gadget之详解ObjectDataProvider

0x01 背景有国外研发者在微软官方Github上提出废除ObjectDataProvider的建议，大家在微软社区讨论的非常热烈，提出问题者的出发点依旧是存在巨大的安全隐患，但截止目前在.NET C...

04月22日94 views评论

阅读全文

代码审计

JavaWeb系统代码审计实战挖掘漏洞

关注本公众号，后台回复关键字 "前八套环境"，实时获取最新JavaWeb练习环境。加入炼石计划一、【炼石计划知识星球简介】炼石计划专注于WEB安全入门，JavaWeb代码审计入门破壁。从基础概念知识开...

04月20日202 views评论

阅读全文

源代码审计面经

源代码审计面经之前陆陆续续参加过源代码审计新人的面试，有个小兄弟今年也在学习源代码审计相关知识，本人今年上半年也参与过部分单位源代码审计岗位的面试，网上也没有相关岗位的面经介绍，这里就总结了一下，供各...

04月19日代码审计342 views评论

阅读全文

代码审计

一名代码审计新手的实战经历与感悟

作者：Ka1ier 原文地址：https://www.freebuf.com/articles/web/166602.html个人认为，作为一个要入门代码审计的人，审计流程应该从简单到困难，...

04月19日103 views评论

阅读全文

安全文章

红队第3篇：银行Java站SSRF组合洞打法造成的严重危害

Part1前言这篇文章源于之前做的某银行的红队评估项目，第一次打进去用了一个客服系统的0day漏洞，而且一直打到了银行的核心区。半年后项目续签，开始了第2轮红队评估项目，再想打进去就非常困难了。代码审...

04月19日105 views评论

阅读全文

代码审计

【创宇小课堂】代码审计-Spring Data Commons RCE分析

漏洞简介Spring Data是一个用于简化数据库访问，并支持云服务的开源框架,包含Commons、Gemfire、JPA、JDBC、MongoDB等模块。此漏洞产生于Spring Data Comm...

04月18日41 views评论

阅读全文

安全文章

挖掘0day的一些思路技巧

好久不见！1.前言待审计应用根据访问权限划分一般有以下几种情况:仅源码: 我们仅拥有目标的源代码，通常不包含完整的编译和测试环境，而且由于缺乏必须的关键依赖组件，往往无法构建出可运行的程序。这种情况一...

04月15日343 views评论

阅读全文

代码审计

【创宇小课堂】代码审计-Fastjson各版本漏洞分析（上）

- 前言 -最先出现问题的Fastjson 1.2.24反序列化漏洞已经分析过了，产生漏洞的原理也差不多理解了•在1.2.25之后的版本，以及所有的.sec01后缀版本中，autotype功能默认是受...

04月15日55 views评论

阅读全文

代码审计

飞趣开源BBS代码审计-JAVA

环境部署飞趣 BBS 在 gitee 可以下载到源码，它是由 SpringBoot 搭建，根据 README.md 搭建到 IDEA 即可目录结构很奇怪的布局，大概看了一下只有 feiqu-front...

04月09日109 views评论

阅读全文

代码审计

记一次代码审计打点

点击蓝字关注我们声明本文作者：kuaile 本文字数：3778阅读时长：10min附件/链接：点击查看原文下载本文首发于【secin】安全社区，未经许可禁止转载原文链接:https://w...

04月09日153 views评论

阅读全文