RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

Java代码审计入门

在安全从业人员的日常工作中,Java相关组件出现高危漏洞的频率比较高。 而代码审计就是挖掘源程序中的代码安全问题,其一直是发现应用程序漏洞的一种非常有效的方法。 代码审计是黑盒渗透测试的重要补充,可以发现更多的隐藏问题。 因此,代码审计通常被认为是 SDL 中非常重要的一部分。

fastadmin--upload getshell

之前遇到了一个低版本的fastadmin的站,后台能够上传文件getshell,本来想着扒拉一下源码,Github一看已经更新到了20210730的最新版,那就来看最新版的源码吧...

  • 0
  • 2
  • joker
  • 发布于 2021-11-15 14:47:52
  • 阅读 ( 3351 )

一次简单的Java代码审计

一次简单的代码审计

  • 4
  • 0
  • JOHNSON
  • 发布于 2021-12-17 09:37:57
  • 阅读 ( 2370 )

记一次渗透实战-代码审计到getshell

一次渗透测试遇见的系统,遂进行代码审计

  • 10
  • 13
  • dota_st
  • 发布于 2022-02-14 09:28:23
  • 阅读 ( 2031 )

记一次Java代码审计

最近在学习Java代码审计,找了一个Java写的CMS练练手

  • 2
  • 4
  • 好家伙
  • 发布于 2022-01-06 09:38:21
  • 阅读 ( 1762 )

记又一次Java代码审计

这是我的Java代码审计实战的第二篇文章,下面带来一个新的CMS的审计思路和技巧

  • 4
  • 2
  • 好家伙
  • 发布于 2022-02-17 09:35:54
  • 阅读 ( 1483 )

某国外cms代码审计

最近发现无聊的时候发现这个cms有个上传洞,于是心血来潮的审计了一下,整体技术含量不是特别大,代码审计初学者也可以学习一下

  • 0
  • 3
  • ZAC安全
  • 发布于 2022-01-20 11:40:43
  • 阅读 ( 1413 )

浅析JAVA代码审计中的“幽灵代码”

从漏洞挖掘的角度看JAVA的切面、拦截器和过滤器。

  • 3
  • 3
  • Alivin
  • 发布于 2022-01-24 10:00:23
  • 阅读 ( 1194 )

小白第一次审计

## 前言 刚开始学审计 也是看了社区们师傅的文章https://forum.butian.net/share/387 可能是自己太菜了 感觉不太详细 就自己审了一下 ## 漏洞分析 先打开cms 简单浏览一下 [![](https://s...

  • 0
  • 1
  • 永安寺
  • 发布于 2021-08-31 16:40:48
  • 阅读 ( 1039 )

zbzcms审计供新手学习

### 前言 也是源自于闲来无事 在之前逛cnvd的时候 发现的cms 然后下下来了一直没审 现在也是审了一下 cms也比较老了 有段时间没更新了 也没用很难 供新手学习(篇幅有点长) 下载地址...

  • 4
  • 1
  • 永安寺
  • 发布于 2022-02-14 09:52:48
  • 阅读 ( 1030 )

代码审计之上传自解压漏洞

最近在学习java代码审计, 这两天看了一篇Java审计文章后, 举一反三, 写了本篇文章. 上传自解压漏洞是一个容易被 大家忽略的漏洞, 一些网站对上传功能进行了黑白名单过滤, 但当网站有一些上传压缩包功能需求的时候, 就可能忽 略解压后的文件是否为恶意文件, 进而可能产生漏洞.

  • 5
  • 1
  • mix
  • 发布于 2022-04-02 09:41:08
  • 阅读 ( 1003 )

CC链之新利用链分析

分析使用DualHashBidiMap、DualTreeBidiMap、DualLinkedHashBidiMap类作为触发点来构造新的Commons Collections利用链

  • 6
  • 0
  • 好家伙
  • 发布于 2022-02-18 09:39:19
  • 阅读 ( 984 )

狂雨cms代码审计

狂雨小说内容管理系统(简称KYXSCMS)提供一个轻量级小说网站解决方案,基于ThinkPHP5.1+MySQL的技术开发。 KYXSCMS,灵活,方便,人性化设计简单易用是最大的特色,是快速架设小说类网站首选,...

  • 1
  • 1
  • Panacea
  • 发布于 2022-02-21 09:38:18
  • 阅读 ( 966 )

Goland 代码审计: GitHub 开源项目 Crawlab

Goland 代码审计: GitHub 开源项目 Crawlab

  • 1
  • 1
  • PeiQi
  • 发布于 2021-12-22 09:29:17
  • 阅读 ( 960 )

cms审计小结

审计了挺多的cms了,也有挖出不少的CNVD,幸运的是还申请了1个CVE编号,第一个编号总归是有些许激动的;这篇审计小结,就当做是自己审计经验的小小总结吧

  • 0
  • 1
  • joker
  • 发布于 2021-12-28 08:43:59
  • 阅读 ( 942 )

Wordpress敏感信息泄漏漏洞 CVE-2021-38314 代码审计

WordPress Redux Framework class-redux-helpers.php 敏感信息泄漏漏洞 CVE-2021-38314 | 代码审计复现

  • 0
  • 0
  • PeiQi
  • 发布于 2021-12-03 09:51:54
  • 阅读 ( 912 )

记详细的Java代码审计

# 记详细的Java代码审计 ## 过滤器简介 Filter也称之为过滤器,它是Servlet技术中最实用的技术,WEB开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图片文件...

  • 0
  • 0
  • hrk
  • 发布于 2021-08-31 18:36:48
  • 阅读 ( 852 )

CSCMS代码审计(php)

CSCMS是一款强大的多功能内容管理系统,采用php5+mysql进行开发,运用OOP(面向对象)方式进行框架搭建。CSCMS用CodeIgniter框架作为内核开发,基于MVC模式。很适合拿来练手。

  • 1
  • 1
  • St3pBy
  • 发布于 2022-06-08 09:45:42
  • 阅读 ( 781 )

记某cms代码审计getshell

记之前对某cms v1.2版本的代码审计,到现在已经更新了几个版本,本文提到的漏洞在最新版中均已修复。基于安全披露原则,对cms进行打码处理。

  • 1
  • 1
  • dota_st
  • 发布于 2022-04-26 10:16:55
  • 阅读 ( 763 )

记一次绕过后缀安全检查进行文件上传

在Windows系统中,如果保存文件的文件名是以点结尾,系统会自动将点去掉。利用这一特点在某些场景下可以绕过对应的文件后缀检查,达到任意文件上传的效果。

  • 1
  • 0
  • tkswifty
  • 发布于 2022-05-27 09:43:53
  • 阅读 ( 759 )