starts | CN-SEC 中文网

代码审计

某人力系统的代码审计

文章来源: https://forum.butian.net/share/3109 某人力系统的代码审计前言最近看该系统漏洞公开较多，想审计练练手权限绕过该系统是由java开发的，查看web....

07月11日17 views评论

安全闲碎

之前写了一篇关于伪协议的文章，当时仅仅是探究了一下浏览器是怎么唤醒应用。既然浏览器可以通过伪协议去唤醒应用，那么系统肯定也可以。（以下均以windows举例）伪协议再粗略介绍一下伪协议，以window...

03月31日27 views评论

安全文章

信息收集端口扫描┌──(root㉿kali)-[~]└─# nmap -sC -sV -A -p- --min-rate=10000 10.129.229.185Starting Nmap 7.94S...

02月10日24 views评论

最近在看一个中等规模的源码。发现它存在一些错误的代码防御手段。因此列举一处出来。都还是比较基础简单。防止目录穿越（这里是一处文件下载功能）if (path.startsWith("/")&n...

11月30日代码审计14 views评论

安全文章

| 声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不...

03月17日32 views已关闭评论

安全文章

扫码领资料获黑客教程免费&进群随本文中带有自己一些拙见，存储桶上传策略是一种直接从客户端将数据上传到存储桶的便捷方式。通过上传策略中的规则和与某些文件访问场景相关的逻辑，我们如何越权访问到完整...

07月05日177 views评论

安全文章

前言本文中带有自己一些拙见，读者若存在相关问题或者有其他想法的，欢迎在评论区交流探讨。原文链接：https://labs.detectify.com/2018/08/02/bypassing-expl...

06月17日54 views评论