代码审计 - 第 23 | CN-SEC 中文网

安全文章

xstream反序列化漏洞打内存马

xstream组件还是用的比较多的。实战当中也有很多xstrem漏洞引发的RCE漏洞案例如下图所示使用xstream对可控数据进行反序列化使用xslt链内存马攻击成功原文始发于微信公众号（代码审计St...

09月23日34 views评论

阅读全文

代码审计

代码审计指南 - Github开源Java项目

初入代码审计的师傅，苦于寻找开源的项目练练手，这里就结合Github上的开源项目进行简单审计，方便师傅们跟随步骤学习思路。开源挖洞思路仅供参考，不得使用漏洞于非法用途。注：现在加入Freebuf知识帮...

09月22日55 views评论

阅读全文

代码审计

0基础学习PHP代码审计|CNVD、CVE原创漏洞挖掘

前言先说下为什么要去学习代码审计，就拿最常见的漏洞复现来说，如果不会代码审计，去做漏洞复现也仅仅局限于“复现”而搞不懂这个漏洞真正的成因。还有现在的招聘需求，面试渗透、安服等岗位，都是...

09月18日33 views评论

阅读全文

安全工具

白盒代码安全审计系统及静态 php 代码审计

白盒代码安全审计系统Cobra 该项目设计已无法实现当前白盒扫描要求，已不在维护，仅做研究使用，请勿在生产环境使用 01介绍 Cobra是一款源代码安全审计工具，支持检测多种开发语言源代码中的大...

09月17日23 views评论

阅读全文

代码审计

代码审计 | phpcmsV9.6超详细RCE代审流程

扫码领资料获网安教程本文由掌控安全学院 - 郑居中投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）前言：在代码审计中，漏洞出现都与数据输入有关。...

09月13日27 views评论

阅读全文

代码审计

Collabora在线存储型XSS(CVE-2024-29182)+代码审计

前言Collabora 是一家专注于开源软件的公司，主要提供与文档协作、办公套件和企业解决方案相关的服务。Collabora 提供了 Collabora Online，这是一个基于 Web 的在线办公...

09月13日69 views评论

阅读全文

代码审计

[代码审计]*软channel反序列化hsql浅析利用

免责声明本公众号所发布的所有内容，包括但不限于信息、工具、项目以及文章，均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息，侵权...

09月12日48 views评论

阅读全文

代码审计

某元宇宙NFT数藏交易系统代码审计

点击上方蓝字关注我们并设为星标0x00 前言解密版元宇宙NFT交易系统/数字藏品3D合成/空投盲盒玩法抽集卡，此源码非市面上分享加密授权版本，此版本从新二开阿里的实名短信，去除原本的加密和授权，...

09月10日41 views评论

阅读全文

代码审计

代码审计 | API批量分配导致的普通用户垂直越权到admin

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！什么是批量分配？批量分配（也称为自动绑定）可能会无意中创建隐藏参数。当软件...

09月09日39 views评论

阅读全文

代码审计

一次针对PHP项目的代码审计

免责申明本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。一、前言最近搞代码审计培训许多学员...

08月31日25 views评论

阅读全文

安全文章

利用shuji还原webpack打包源码

本文由掌控安全学院 - 腾风起投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn） 0 前言前段时间做一个银行的项目，是在别人已经打过好多次的基础上...

08月29日65 views评论

阅读全文

安全文章

渗透测试实战 | 代码审计攻破目标站点

一、事件起因在一个风和日丽的夜晚，我收到一位朋友的请求，希望我协助检查一个特定的站点。为了表达谢意，他还特意为我准备了第二天晚上的早饭。抱着对美食的期待，我开始着手调查这个站点的问题。二、渗透过程...

08月27日16 views评论

阅读全文

在线咨询

微信