0x01 前言Veneno's 写的,其实文章内容还不错,所以给大家分享下。这位也是技术发烧友,低调型、里面有两个知识点需要理解:1.Metinfo采用的伪全局变量,之前也有过变量覆盖导致...
代码审计常见的三种方法(PHP篇)
0x00 前言之前也做过一些代码审计,主要语言是PHP,大部分情况下,都是东一榔头西一棒,非常不优雅,甚至有时为了找一个功能点的代码,翻来倒去很久,浪费时间。偶然看见国光0rz的php代码审计环境的搭...
【第13周】使ysoserial支持执行自定义代码
修改ysoserial代码,可使其支持执行自定义代码,是在一次与Bearcat师傅聊天时提到的。当时觉得眼前一亮,感觉在命令执行受阻时,也许可以通过代码执行达到目的。后面去查资料找到了fnmsd师傅的...
NSA关联黑客组织扬言:7月份将公开更多黑客工具代码
点击上方蓝字可以订阅哦影子经纪人凤凰科技讯据路透社北京时间5月31日报道,与美国国家安全局(NSA)存在关联的黑客组织“影子经纪人”(ShadowBrokers)周二表示,该组织计划在今年7月份再次向...
新手代码审计①
导语小明从乙方转为做甲方后,安全将不再仅仅是利用工具、扫描等进行黑盒测试了。还涉及到白盒测试——对代码进行审计,作为小白的我虽然懂得一些PHP语法,但却并不了解框架,看着一大堆的目录,并不知道一个请求...
浅析java中File.getPath()方法引发命令执行漏洞的成因
今天看到某童鞋的提问,大概意思是某执行命令处代码有没有办法利用,详见https://www.t00ls.net/thread-24621-1-1.html.看不到的童鞋木有关系,代码我已经摘录了,请看...
通过图片免杀执行远程powershell代码
Facebook 无意中看到的,觉得还不错,顺便分享给大家 ,详情请移步至'原文' ,gif 加载可能稍微有些慢,大家稍微耐心点 本文始发于微信公众号(红队防线):通过图片免杀执...
原创 | Google应对软件供应链攻击的框架SLSA
作者 | 绿盟科技格物实验室 潘雨晨一概述去年年底轰动一时的SolarWinds攻击事件以及今年4月曝出的针对Codecov产品代码的攻击使得供应链安全屡次成为安全界关注的焦点,针对此类问题...
JavaScript逆向基础之去除反调试代码
网安引领时代,弥天点亮未来 0x00具体操作1.这个是接着前面一篇文章: (1).JavaScript逆向基础之手工还原混淆代码2.现在很多电影...
python安全代码审计
在审计代码之前可以用bandit进行白盒扫描,根据结果再去分析是否有具体的漏洞。bandit安装:pip install bandit0x01 代码执行在审python代码的时候,发现很多类似eval...
GitHub 推出“Copilot”——人工智能驱动的代码完成工具
更多全球网络安全资讯尽在邑安全GitHub 周二发布了一种新的基于人工智能的结对编程工具的技术预览版,旨在帮助软件开发人员使用各种编程语言编写更好的代码,包括 Python、JavaScript、Ty...
一次简单的代码审计
最近某漏洞平台出了一个活动……挖来挖去都没有办法搞到啥代码执行都漏洞,不服~(每天烦躁的很)然后想了下emlog这个博客系统,以前也挖过什么漏洞,再去把源码下载下来试一试吧!结果发现这套系统的开发好像...
95