代码 - 第 50 | CN-SEC 中文网

安全漏洞

施耐德电气工业设备存在远程代码执行漏洞

点击蓝字关注我们近日，Armis安全研究人员警告说，施耐德电气的可编程逻辑控制器(PLC)中存在严重且未修补的远程代码执行漏洞，攻击者可控制其各种工业系统。施耐德电气的Modicon控制器系列是市场上...

09月04日73 views评论

阅读全文

安全文章

Kibana漏洞之javascript原型链污染又文件包含漏洞的非常详细的分析的黑客教程

“ 这是一篇黑客教程，为啥？因为文章里有poc，写完文章的我，瑟瑟发抖，明天要是见不到我，可能在监狱里吧……”01—Nodejs的子进程创建如何获取客户端参数的代码写在了proccess.js中，我们...

09月03日107 views评论

阅读全文

安全文章

【SOAR】策略实现及思考--Gitlab未授权

前言近日，在对项目进行做信息收集的过程中，通过特别简单的一个策略得到了意外的收获：发现某项目的Gitlab的公开仓库，并在其中找到数据库账号密码等，并存在大量数据。1Gitlab相关配置问题现在很多...

09月03日91 views评论

阅读全文

代码审计

代码审计第四节-XSS基础知识

代码审计第四节主要是讲解XSS的一些基础知识。跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚...

09月02日137 views评论

阅读全文

逆向工程

【代码审计】 beescms 变量覆盖漏洞导致后台登陆绕过分析

一、漏洞描述：init.php中存在变量覆盖漏洞，而后台判断登陆的代码仅仅用$_SESSION一些键值进行了判断，导致覆盖$_SESSION的关键值后，可以绕过登陆的判断，从而登陆后台。二、漏洞分析过...

09月01日735 views评论

阅读全文

安全文章

CVE-2021-30481：通过游戏邀请执行源引擎远程代码

Steam是世界上最受欢迎的PC游戏启动器。它使数以百万计的人有机会使用内置的朋友和聚会系统与朋友一起玩自己喜欢的视频游戏，因此可以安全地假设大多数用户在某个时间点或另一个时间点接受了邀请。那里没有真...

08月31日188 views评论

阅读全文

安全工具

《LLVM与代码混淆技术》——带你打造自己的代码混淆工具

伴随着逆向工程技术的不断发展，软件被篡改、盗版的威胁逐渐增大，攻击者通过对程序的逆向工程获取程序的重要算法与核心数据，严重侵害了软件开发者的权益。近年来，对软件进行安全加固的技术受到人们的普遍关注，O...

08月30日442 views评论

阅读全文

代码审计

通过 BlueCMS 学习 php 代码审计

0x00 前言最近一直在学习php代码审计，入门过程比自己想象的慢很多，现在各个行业都在内卷，代码审计随着 web 开发技术的发展也会变得更加复杂。但不管现在技术多成熟，多复杂，基础知识一定要扎实。先...

08月29日70 views评论

阅读全文

代码审计

Java代码审计系列(六) 反序列化

01 概述首先我们介绍下序列化和反序列化的概念：序列化：把Java对象转换为字节序列的过程。反序列化：把字节序列恢复为Java对象的过程。对象的序列化主要有两种用途：把对象的字节序列永久地保存到硬盘上...

08月28日74 views评论

阅读全文

安全开发

如何写好业务代码

点击下方“IT牧场”，选择“设为星标”原文：toutiao.com/i6903053083555807752/说明这里举一个非常简单的例子，以案例的业务实现来分析如何写好业务代码。本案例只是简单的模拟...

08月28日41 views评论

阅读全文

安全文章

Github敏感信息查找

1-Github GitHub是全球最大的代码托管平台，国内也有gitee之类的，查询方法技巧大同小异。不管是hackerone还是国内的src，在代码托管平台找敏...

08月26日83 views评论

阅读全文

安全开发

在 Fedora 中用 bpftrace 追踪代码 | Linux 中国

导读：这篇文章的内容涉及了 bpftrace 的一些基础，以及它是如何工作的　　　　　　　　　　本文字数：5565，阅读时长大约：7分钟https://linux.cn/...

08月24日39 views评论

阅读全文