源码审计 | CN-SEC 中文网

代码审计

一次常规的源码审计

前言php代码审查，追踪一次SQL注入攻击并成功其通过文件上传实施远程代码执行（rce）以及其他危害漏洞审计。SQL注入下面的代码可以发现exportExcel("$get_tab",stripsla...

04月11日42 views评论

阅读全文

信息情报

【吃瓜】美政府效率部招聘信息安全工程师

公众号现在只对常读和星标的才展示大图推送，建议大家把夜组科技圈设为星标，接收一手资讯！1. 职位吸引力行业地位：美国政府的效率部门通常涉及关键基础设施和高敏感数据的保护，因此信息安全工程师在该部门的工...

02月20日16 views评论

阅读全文

安全文章

【oscp】PWNLAB: INIT靶场，文件包含+源码审计，文件包含+文件上传，环境变量劫持提权，管道符绕过提权

前言 oscp备考，oscp系列——PWNLAB: INIT靶场，文件包含+源码审计，文件包含+文件上传，环境变量劫持提权，管道符绕过提权难度简单偏上对于低权限shell获取涉及：文件包含+源码审...

01月26日11 views评论

阅读全文

代码审计

基于Fortify SCA 的GB/T 3494X 源码审计规则研究与应用

摘　要：2017 年颁布的GB/T 34943—2017《C/C++语言源代码漏洞测试规范》、GB/T 34944—2017《Java 语言源代码漏洞测试规范》、GB/T 34946—2017《C#语...

01月07日38 views评论

阅读全文

代码审计

源码审计是否存在sql注入，安全和危险的sql操作代码

得到源代码获得源代码后，使用搜索工具，例如PowerGREP搜索源码搜索关键词如下selectupdatedeleteinsertsqlfromdatabase搜索后，可以看到结果中出现了很多条sql...

10月13日25 views评论

阅读全文

代码审计

某CMS源码RCE审计思路

一、前言这个依旧是一个学员审计出来的案例，今天拿出来分享一下，这个漏洞是基于phar反序列化的一个漏洞RCE利用方式，我们来查看漏洞点。二、漏洞分析首先这个代码是一个ThinkPH...

09月27日25 views评论

阅读全文

代码审计

记一次java协同办公OA系统源码审计

前言因为笔者也是代码审计初学者，写得不好的地方请见谅。该文章是以项目实战角度出发，希望能给大家带来启发。审计过程审计思路 1、拿到一个项目首先要看它使用了什么技术框架，是使用了ssh框架，还是使...

07月02日15 views评论

阅读全文

安全文章

渗透实训-记一次艰难的打点过程

*声明：*请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。合法渗透，本文章内容纯属虚构，如遇巧...

07月02日20 views评论

阅读全文

安全文章

渗透实训-记一次艰难的打点过程(某985)

03月19日9 views评论

阅读全文

赏金猎人（bugboundy）项目

bugboundy 大部分是web渗透测试，也有app渗透测试，以及源码审计项目和other项目。常见的大型bugboundy网站 Bugcrowd:&n...

11月13日安全文章92 views评论

阅读全文

一次常规的源码审计

【吃瓜】美政府效率部招聘信息安全工程师

【oscp】PWNLAB: INIT靶场，文件包含+源码审计，文件包含+文件上传，环境变量劫持提权，管道符绕过提权

基于Fortify SCA 的GB/T 3494X 源码审计规则研究与应用

源码审计是否存在sql注入，安全和危险的sql操作代码

某CMS源码RCE审计思路

记一次java协同办公OA系统源码审计

渗透实训-记一次艰难的打点过程

渗透实训-记一次艰难的打点过程(某985)

赏金猎人（bugboundy）项目

在线咨询

微信