author | CN-SEC 中文网

代码审计

CVE-2024-13025-Codezips 大学管理系统 faculty.php sql 注入分析及拓展

Codezips 里面有很多cms系统，其中的一个College Management System In PHP With Source Code存在sql注入漏洞。复现对源码进行下载登录。里...

01月20日17 views评论

阅读全文

CTF专场

网鼎杯2020 部分Writeup

目录 AreUSerialzFileJavatracenotes 被虚幻拿到MISC卡了很久，只做了一道nodejs题，详细记录一下。同时加上其他题目的笔记 AreUSerialz PHP7的反序列化...

12月24日4 views评论

阅读全文

代码审计

常见漏洞的代码审计方法

前言这篇文章主要是总结一下在安全工作中常见漏洞的代码审计方法，以及修复方案，希望能对初学代码审计小伙伴们有所帮助。这是龙哥给粉丝盆友们整理的代码审计阶段第3篇。喜欢的朋友们，记得给龙哥点赞支持和...

11月07日8 views评论

阅读全文

安全文章

Vulnhub-DC6靶机渗透实战

0x00前言这是网络安全自修室每周带星球小伙伴一起实战的第5台靶机，欢迎有兴趣的小伙伴一起加入实操，毕竟实践出真知！靶机可从Vulnhub平台免费下载，并通过虚拟机在本地搭建，渗透实战是一个找寻靶...

10月11日27 views评论

阅读全文

安全文章

Ebean框架常见SQL注入场景

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把“亿人安全“设为星标”，否则可能就看不到了啦原文由作者授权，首发在奇安信攻防社区https://forum.butian.net/share/...

07月03日9 views评论

阅读全文

移动安全

Android逆向技术53——frida stalker追踪jni函数调用

Android逆向技术53——frida stalker追踪jni函数调用背景frida stalker简单实用。使用这个工具来追踪jin函数的调用。环境macOS（win也可以）Ida7.0，其他版...

05月19日13 views评论

阅读全文

安全文章

All-In-One—XXE

XXE漏洞介绍XXE漏洞（XML External Entity）是一种安全漏洞，出现在使用XML解析器的应用程序中。当应用程序使用XML解析器解析XML文档时，如果未正确配置解析器，攻击者可以通过在...

05月15日10 views评论

阅读全文

安全开发

【编程代码】新来的同事问我 where 1=1 是什么意思

新来的同事问我 where 1=1 是什么意思新的同事来之后问我where 1=1 是什么有意思，这样没意义啊，我笑了。今天来说明下。where 1=1先来看一段代码<select id="qu...

02月22日24 views评论

阅读全文

安全新闻

洞见简报【2024/1/19】

2024-01-19 微信公众号精选安全技术文章总览洞见网安 2024-01-190x1 某微信小程序未授权漏洞挖掘（置空查询思路）梅苑安全学术 2024-01-19 21:34:20This art...

01月20日29 views评论

阅读全文

安全文章

DC-6

前言首先大家一定要记住，所有未经授权的渗透都是违法的，所以大家切勿一通乱黑，被关进橘子有的哭了。我们可以在本地搭建一些本地靶场，比如Dvwa项目介绍靶机：172，16，10，14攻击机：...

01月07日19 views评论

阅读全文

关于Mybatis的一个小问题。

之前在挖一些项目的时候，老是遇到参数置空导致信息泄露的问题。为了一探究竟，我又去重新补了一下Mybatis 也算是水一篇文章了。Mybatis中XML中的SQL规范可能产生的信息泄露如果在Mybati...

12月30日安全开发32 views评论

阅读全文

安全工具

Github账号查询邮件GUI工具（自编写）

0x01 前言技术是老技术了，网上搜一下github账号查询作者邮件有很多方法，但是在实际使用的过程中遇到了一些问题，并对这些问题进行一些改进方法查询。0x02 手动查github作者邮箱的方法搜索得...

12月19日37 views评论

阅读全文

在线咨询

微信