代码审计 - 第 28 | CN-SEC 中文网

代码审计

代码审计-Java项目-反序列化漏洞

java序列化和反序列化的概念：序列化：把Java对象转换为字节流的过程。反序列化：把字节流恢复为Java对象的过程。序列化函数接口：Java：Serializable Externalizable接...

06月08日38 views评论

阅读全文

代码审计的规范参考

01基础术语代码安全审计:一种以发现代码安全缺陷和违反代码安全规范为目标的源代码安全性分析。隐蔽通道:为系统中不受安全策略控制的信息泄露路径。按信息传递的方式区分，隐藏通道分为隐蔽存储通道和隐蔽定时通...

06月08日代码审计41 views评论

阅读全文

代码审计

某低代码平台代码审计分析

文章来源：奇安信攻防社区文章链接：https://forum.butian.net/share/2997作者：Qiu_某次项目中遇到的系统，发现还是开源的，于是就下下来小审一下，从权限绕过到getsh...

06月08日35 views评论

阅读全文

安全文章

记一次代码审计靶场速通

Web-Data访问站点发现是某个会议系统，信息收集扫一下目录文件/report/存在未授权访问关于处泄露开发厂商，访问过去拿到源码开始代码审计/report/目录下的aspx文件也都是未授权状态，这...

06月07日30 views评论

阅读全文

代码审计

积木报表系统代码审计

梦到我打开了电脑，然后对网站进行渗透，发现使用了报表系统，于是乎，开始审计积木报表系统，项目结构，如下，看...

06月04日42 views评论

阅读全文

代码审计

最近一次攻防中简单的代码审计

前两天在攻防的时候，遇到一个目标，这个目标以前我打过，而且我的webshell还是存活的，但是漏洞修复了。于是我问裁判可以直接进行横向了吗，裁判说不可以，需要有完整可复现的攻击，历史shell不算。当...

06月03日23 views评论

阅读全文

安全工具

24年护网工具

24年护网工具集护网其实不单单是在开始后的值班，更重要的是护网前资产的梳理、漏洞的发现，风险的发现，从而进行加固，以确保真正开始后能够抵得住攻击。可以看我之前写的护网前中后（护网怎么做，护网前、护...

06月03日94 views评论

阅读全文

安全工具

应急响应靶场集

应急响应靶场集吉祥学安全知识星球🔗除了包含技术干货：Java代码审计、web安全、应急响应等，还包含了安全中常见的售前护网案例、售前方案、ppt等，同时也有面向学生的网络安全面试、护网面试等。护...

06月03日71 views评论

阅读全文

安全开发

【红队基础武器开发】一篇文章上手JAVAGUI武器开发

前言以下实例讲解仅作技术分享，无教唆指导任何网络犯罪行为，因为传播利用本文所提供信息造成的任何结果，均由使用者本人承担责任，公众号作者不为此承担任何责任！架构初步了解完整的javafx架构，因为...

06月03日28 views评论

阅读全文

安全文章

记一次代码审计的外围打点

0x01 前言本文记录了在某次攻防演练项目中的经历，发现使用的是框架CodeIgniter 4.0。进一步，经过代码审计发现两处上传点成功获取Shell，揭示了系统存在的安全隐患。 0x02 漏洞发...

06月03日51 views评论

阅读全文

安全工具

自动代码审计工具 Code-audit

0x01 工具介绍（不咋的）代码审计，自动化代码审计只支持PHP。 0x02 安装与使用软件截图 0x03 下载 https://github.com/yuag/Code-audit 原文始发于微信公...

06月03日42 views评论

阅读全文

代码审计

大华智慧园区综合管理平台代码审计

前言在23年 HW 期间大华智慧园区综合管理平台爆出来了非常多的漏洞，本着学习的心态来看看漏洞成因 FOFA：body="/WPMS/asset/lib/gridster/" 代码审计...

06月03日44 views评论

阅读全文

在线咨询

微信