CWE-96 静态存储代码中指令转义处理不恰当(静态代码注入) Improper Neutralization of Directives in Statically Saved Code ('Sta...
CWE-94 对生成代码的控制不恰当(代码注入)
CWE-94 对生成代码的控制不恰当(代码注入) Improper Control of Generation of Code ('Code Injection') 结构: Simple Abstra...
View-2000: Comprehensive CWE Dictionary
View-2000: Comprehensive CWE Dictionary ID: 2000 Type: Implicit Status: Draft Objective This view (s...
谭谈 XSS 那些世人皆知的事 - WHOAMIBunny
[toc] XSS 简介 XSS,全称Cross Site Scripting,即跨站脚本攻击,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用...
Xmind 2020 XSS漏洞导致命令执行复现 - 可爱又迷人的反派角色
今天看到某数字云漏洞预警,但没给利用代码就.....于是跑去复现一下 XMind 是一个全功能的思维导图和头脑风暴软件,为激发灵感和创意而生。作为一款有效提升工作和生活效率的生产力工具,受到全球百千万...
某CMS代码审计思路分享 - err0ratao
某CMS代码审计思路分享 前言 大师傅丢给了我一个CMS,说挺简单的,让我尝试审计看看。于是我开启了自己的第一次代码审计。这篇文章主要是讲自己写审计时的一些思路把,对于代码的分析还是比较少的。 工...
某cms代码审计RCE&艰难bypass(思路清奇) - ajie
0x01 前言 闲来无事挖挖漏洞,发现一个经过了一些过滤的漏洞,踩了无数的坑,然后冥思苦想了许多方法,终于找到了一个点,使得可以进行命令执行与getshell。这里的漏洞点不值一提,但是因为绕过方法挺...
深入智能合约重入漏洞 - zpan
0x01 前言 智能合约的重入漏洞是一个非常经典的漏洞,其产生了非常严重的后果,诸如以太坊分叉等。本文将深入分析其产生的原因和预防机制。 0x02 预备知识 合约地址与外部地址的异同 外部账户 EOA...
JavaWeb的某管理系统的一次常规审计 - L4zily
前言 之前各位看过先知的php审计,不过后期随着技术需求学习了Java的代码审计,这几天来实战检验自己的成果,其实代码审计我认为不仅仅在于代码层面的测试,包括你去搭建部署起来和去黑盒测试功能点对应的代...
零信任实践分享
背景介绍本文的作者是陈志杰,2015至2020年有幸参与了谷歌生产环境零信任(Zero Trust in Production Environments)的理论和实践。在此背景下开发的Binary A...
网络安全自学篇(五)| IDA Pro反汇编工具初识及逆向工程解密实战
作者;杨秀璋介绍;自幼受贵州大山的熏陶,养成了诚实质朴的性格。经过寒窗苦读,考入BIT,为完成自己的教师梦,放弃IT、航天等工作,成为贵财一名大学教师,并想把自己所学所感真心传授给自己的学生,帮助更多...
CodeQL静态代码扫描之实现关联接口、入参、和危险方法并自动化构造payload
本文始发于微信公众号():CodeQL静态代码扫描之实现关联接口、入参、和危险方法并自动化构造payload
95