代码审计 - 热门的文章 - 奇安信攻防社区

记一次java代码审计（2）

分享是一种学习

4
5
fan
发布于 2023-06-06 09:00:02
阅读 ( 5468 )

BootstrapAdmin .Net 代码审计

本篇文章中的所有发现的相关漏洞已提交 Issues 或通知仓库拥有者本人。此前审计过PHP、JAVA的CMS，这次尝试审计使用.NET Core开发的Web网站。这个不是传统的.NET WEB FRAMEWORK，因此我们没有看到项目中存在的Asp、Aspx等动态网页文件。紧随我的脚步，让我们一起感受代码审计的魅力。

1
3
en0th
发布于 2023-05-18 09:00:02
阅读 ( 4978 )

浅谈Spring与安全约束SecurityConstraint

在Java Web应用程序中，可以通过安全约束（Security Constraint）来实现访问控制。在Spring应用中，同样可以通过相应的安全约束进行访问控制，但是各个中间件与Spring两者间是存在一定的解析差异的，在某种情况下可能存在绕过的可能。

1
1
tkswifty
发布于 2023-05-26 09:00:00
阅读 ( 4884 )

浅谈Spring WebFlux文件上传解析

在 Spring WebFlux 中，可以使用 org.springframework.http.codec.multipart.FilePart 来处理文件上传。浅谈其具体实现。

0
0
tkswifty
发布于 2023-06-26 09:00:02
阅读 ( 4444 )

半自动化代码审计实战

无论我们在手工代码审计中具备多么扎实的技术背景、丰富的经验和敏锐的洞察力，仍然会存在着一些局限性；为了克服这些局限性，使用自动化代码审计工具可以快速识别所有可疑漏洞的位置，从而提高审计的效率和准确性！

7
14
Yu9
发布于 2024-02-22 09:00:01
阅读 ( 4399 )

CRMEB开源版代码审计

本篇讲述了PHP代码审计过程中发现的一写漏洞，从反序列化、文件操作、用户认证凭据等方面展开审查，发现不少漏洞问题，小弟在此抛砖引玉。

3
2
en0th
发布于 2023-12-28 09:00:00
阅读 ( 4199 )

从某教学视频应用云平台入门.net审计

ASP.NET审计入门学习

1
4
我会一直开心
发布于 2024-01-11 09:00:00
阅读 ( 3833 )

PHP无框架代码审计

本文主要以baijiacms为例分享一些PHP无框架代码审计的思路

0
2
Cl0wnkey
发布于 2024-01-09 10:00:00
阅读 ( 3774 )

ModStartCMS-7.2.0 代码审计

本篇文章通过代码审计发现ModStartCMS的RCE漏洞，描述了如何运用 phar 进行 php 反序列化漏洞利用的过程，并提供进一步了解 phar 的相关内容，帮助大家更好的审计出Phar反序列化漏洞。

1
1
en0th
发布于 2024-01-10 10:01:49
阅读 ( 3721 )

某移动平台代码审计

该套系统是一次地市级hvv中，扫目录扫到备份文件拿到的，因为也是第一次审计.net，前期也没学过，可能也有很多解释的不对的地方望师傅们指出

6
13
T4nGgggggggggggggggggggggggggggggggg
发布于 2023-08-30 09:00:02
阅读 ( 3701 )

Mybatis-Flex浅析

MyBatis-Flex是一个MyBatis增强框架，它非常轻量、同时拥有极高的性能与灵活性。可以轻松的使用Mybaits-Flex连接任何数据库。浅析其中安全相关的问题。

0
0
tkswifty
发布于 2023-09-04 09:00:02
阅读 ( 3697 )

SpringMVC参数处理过程与Content-type绕过浅析

在Spring Web应用中，通过自定义过滤器（Filter）来进行输入验证和过滤是一种常见的做法。尤其是对于一些存在sql注入、xss的web应用，在实现时经常会通过request.getParamaters()方法获取对应的请求内容进行验证/拦截，解类似的安全风险。但是这里并不能覆盖类似json等请求方式。此时一般会通过请求的 Content-Type 头来区分不同类型的请求来获取对应的请求内容。在某些情况下可以绕过对应的检测逻辑。