代码审计 - 第 25 | CN-SEC 中文网

代码审计

一个代码审计新手的练级之路

前言这是作者通过代码审计挖的第一个cve，目前已经在cve官网公开。本身没多少技术含量，主要是分享自己学习代码审计的过程。复现cve编号 :CVE-2024-39174.环境yzmcmsV7.2过程该...

07月29日45 views评论

阅读全文

第七课-系统学习代码审计：SSTI模板注入

视频教程：https://space.bilibili.com/482887446?spm_id_from=333.1007.0.0主要内容：1、SSTI模板注入2、Velocity语法3、Veloc...

07月26日代码审计17 views评论

阅读全文

代码审计

昨晚正在做美滋滋的梦，突然画风一转，我竟然在代码审计

梦到我打开了电脑，然后对网站进行渗透，发现使用了报表系统，于是乎，开始审计积木报表系统，项目结构，如下，看上去很简单，实际上一点也不难核心代码在jar里面怎么全局搜索呢？反编译反编译，然后导入...

07月26日22 views评论

阅读全文

代码审计

[代码审计]记一次简单的java代码审计

免责声明本公众号所发布的所有内容，包括但不限于信息、工具、项目以及文章，均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息，侵...

07月26日25 views评论

阅读全文

代码审计

某系统存在文件覆盖导致getshell

一、漏洞审计问题出现在admin/filemanager接口的index方法漏洞条件1、获取了请求参数的path 漏洞条件2、在该方法里，可以看到当请求方法为post，而且mode=savef...

07月21日20 views评论

阅读全文

代码审计

从任意文件读取到代码审计获取权限

从任意文件读取到代码审计获取权限记录一次给客户日常安全测试过程中，通过一个任意文件读取漏洞到最后获取到服务器权限过程，文章中涉及相关都打码，避免泄露客户信息。任意文件读取在使用yakit抓包测试时，发...

07月21日23 views评论

阅读全文

代码审计

某系统存在文件覆盖导致getshell

07月20日13 views评论

阅读全文

制度法规

云环境下的等保2.0解决方案

吉祥学安全知识星球🔗除了包含技术干货：Java代码审计、web安全、应急响应等，还包含了安全中常见的售前护网案例、售前方案、ppt等，同时也有面向学生的网络安全面试、护网面试等。原文始发于微信公众号（...

07月20日8 views评论

阅读全文

安全职场

乙方转甲方的职业痛点；安全产品经理的职业困惑

话题抢先看 1. A同学：乙方安服转甲方应用安全，上升无望，只能做一个小兵蛋仔，日常的工作较流程化，应该如何规划下一步职业发展2. B同学：在乙方做安全产品研发两年，后转到甲方小团队里做安全开发一年，...

07月20日20 views评论

阅读全文

代码审计

第六课-系统学习代码审计：表达式注入之SpEL(Spring表达式)注入

视频讲解：https://www.bilibili.com/video/BV1KT421k7ZE/主要内容：SpEL的简单使用SpEL注入payload讲解SpringBoot的SpEL注入漏洞分析4...

07月19日92 views评论

阅读全文

安全文章

记一次红队攻防中.Net代码审计与防守方的对抗过程

Part1 前言大家好，我是ABC_123。最近在复习整理之前自己审过的一些代码，找到了几年前红队评估项目中审计的一个.Net代码的案例，我平时很少看.NET的代码，于是就拿出代码重新学习总结了...

07月18日21 views评论

阅读全文

代码审计

第四课-系统学习代码审计：命令执行漏洞讲解

命令注入命令执行漏洞是有些代码中需要调用到系统命令，当系统命令代码未对用户可控参数做过滤，则当用户能控制相和谐函数的参数的时候就可以把恶意命令把拼接正常命令中造成命令执行攻击。在Java中，...

07月18日31 views评论

阅读全文

在线咨询

微信