arg - 第 2 | CN-SEC 中文网

安全开发

原创 | PHP代码执行防御

导语：好久没写文章了，前段时间重回校园，诸事繁忙，为了生活，负重前行。这个系列的PHP安全开发，还是坚持写下去，毕竟对于安全来说，安全的开发尤其重要，对于Web开发的主流语言，PHP语言开发的Web应...

10月15日14 views评论

阅读全文

CTF专场

PHP PWN 入门调试

一php pwn介绍由于我也是刚开始学习web pwn，所以目前我所了解到的关于php pwn的漏洞点主要在so扩展库中。以下是php扩展的解释：php扩展是一种特殊形式的依赖库或插件，他提供许多可以...

10月13日16 views评论

阅读全文

IoT工控物联网

AUTOSAR架构下NVM Block连续写及Default Value问题分析

点击上方蓝字谈思实验室获取更多汽车网络安全资讯正文1.应用SWC读写NVMBlock的两种方式入下图所示，Vector的AUTOAR配置工具Davinci Developer提供两种方式配置SWC使用...

10月09日93 views评论

阅读全文

安全文章

使用 Joern 查找用于利用 Java 中 Unsafe Reflection 漏洞的类

在一次渗透测试中，我们发现一个 Java 应用程序存在不安全反射漏洞 [1]。此应用程序允许我们实例化任意类，并将受控字符串作为参数传递给其构造函数。当我们意识到应用程序使用的依赖项时，我们提出了以下...

10月04日45 views评论

阅读全文

移动安全

IOS逆向之破解某知名抓包APP

0x00 前言本文的测试目标是一个******APP，可以使用hook或者代理的方式来获取高级功能，如解密HTTPS流量、重写HTTP请求以及重放等功能。本文主要提供一些思路以及介绍一下数据之间的转换...

09月28日19 views评论

阅读全文

移动安全

在混淆的so中寻找sign签名函数

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！逆向这门手艺，真是越学越让人摸不着头脑。最大的感受就是神仙打架凡人遭殃。行...

09月25日23 views评论

阅读全文

安全文章

某tap评论-算法改写

前言此次对某tap网站的评论进行逆向分析。其中将js算法改写为python类型的算法。逆向目标-某tap评论逆向首页：aHR0cHM6Ly93d3cudGFwdGFwLmNuL21vbWVudC...

08月12日17 views评论

阅读全文

Jetty Xml内存马(Java11)

网上目前文章都是使用BCELClassLoader，java8某个小版本后就使用不了了，可以替换为ScriptEngineManager配合jMG生成Base64进行内存马注入。 <?xml v...

07月29日安全文章27 views评论

阅读全文

安全文章

S2-061 Struts2远程代码执行漏洞复现（POC详解）

什么是Struts2Struts2是一个用Java编写的开源MVC Web应用框架，Struts也是一个中间件，它可以连接不同的系统和服务。M是指业务模型，V是视图，C则是控制器（理解为请求接口，比如...

07月01日24 views评论

阅读全文

安全工具

RouteCheck！Java路由收集工具

项目介绍 2023年初作者@ax1sX和@suizhibo完成了RouteCheck的雏形，1用于分析和提取源码中所有的访问路由。磨磨唧唧一直没完，现已开放一版适合扫地国内java源码。这个版本限制...

06月25日49 views评论

阅读全文

安全文章

Windows 上的 Unicode 到 ASCII 转换可能导致参数注入等

我是 DEVCORE 研究团队的 splitline。我们最近在 cURL 上发现了一个漏洞。我们在最新版本的 cURL（curl-8.8.0_1）中重现了这些问题，并想向您报告。请查看附件文档了解详...

06月22日8 views评论

阅读全文

安全工具

ShiroEXP - Shiro漏洞利用工具

工具简介 Shiro漏洞利用工具，运行环境：JDK 8 | Intellij 2024，使用其他JDK版本可能出现未知问题...！爆破密钥及加密方式(已完成)漏洞探测(已完成Shiro550 URL...

06月08日19 views评论

阅读全文

原创 | PHP代码执行防御

PHP PWN 入门调试

AUTOSAR架构下NVM Block连续写及Default Value问题分析

使用 Joern 查找用于利用 Java 中 Unsafe Reflection 漏洞的类

IOS逆向之破解某知名抓包APP

在混淆的so中寻找sign签名函数

某tap评论-算法改写

Jetty Xml内存马(Java11)

S2-061 Struts2远程代码执行漏洞复现（POC详解）

RouteCheck！Java路由收集工具

Windows 上的 Unicode 到 ASCII 转换可能导致参数注入等

ShiroEXP - Shiro漏洞利用工具

在线咨询

微信