代码审计 - 文章 - 奇安信攻防社区

记一次0.5day分析

转载

0
1
Zacky
发布于 2024-04-24 10:00:01
阅读 ( 356 )

黑名单过滤下为何还能无限制SQL注入！

记录一次代码审计中有意思的SQL注入以及一些别的漏洞！

0
0
Yu9
发布于 2024-04-24 09:00:02
阅读 ( 303 )

记一次项目中遇到的YII框架审计

转载

0
0
Zacky
发布于 2024-04-23 10:00:00
阅读 ( 394 )

某通用系统0day审计过程

转载

0
1
Zacky
发布于 2024-04-19 10:24:32
阅读 ( 1344 )

Java安全 - FreeMarker模版注入浅析

再学学SSTI

0
0
Zacky
发布于 2024-04-11 10:00:02
阅读 ( 1108 )

Jersey参数处理过程与常见风险

Jersey是一个开源的RESTful Web服务框架，它实现了JAX-RS规范（JAX-RS是Java API for RESTful Web Services的简称，它是Java EE的一个规范，提供了一组用于创建RESTful Web服务的API。）中定义的API，并提供了许多额外的特性和工具来简化RESTful Web服务的开发。浅谈其参数处理过程。

0
0
tkswifty
发布于 2024-04-11 09:36:30
阅读 ( 876 )

Java安全 - Learning Vaadin Gadget From CTF

转载

0
0
Zacky
发布于 2024-04-10 10:08:47
阅读 ( 1035 )

Spring WebFlux参数处理过程与Content-type绕过浅析

Spring WebFlux是Spring Framework提供的用于构建响应式Web应用的模块，基于Reactive编程模型实现。它使用了Reactive Streams规范，并提供了一套响应式的Web编程模型，以便于处理高并发、高吞吐量的Web请求。本文主要分析Spring WebFlux在参数处理过程中是如何对Content-type进行处理的，以及跟Spring MVC的区别。

0
0
tkswifty
发布于 2024-04-08 09:42:02
阅读 ( 788 )

Neshta样本分析

前段时间群里一位师傅开远程桌面暴露3389端口时被人打了，然后上传了一个勒索程序，并触发了，在该师傅一番抢救后留下了一个样本，丢到微步上看了看之前好像还没人提交，猜测应该是某种方式内...

1
2
秋分
发布于 2024-04-07 09:50:25
阅读 ( 849 )

某oa代码审计

1
2
Whoisa
发布于 2024-04-03 10:00:00
阅读 ( 1582 )

某知名大型系统代码审计

大型Yii框架审计

0
2
花北城
发布于 2024-03-29 09:00:01
阅读 ( 1887 )

对AWD流行开源WAF（1） -- Watchbird的白盒审计

白盒审计Watchbird--一款awd中的waf和流量检测设备 Watchbird项目地址：https://github.com/leohearts/awd-watchbird

1
0
用户071513905
发布于 2024-03-28 10:00:01
阅读 ( 1764 )

CVE-2024-27198 JetBrains TeamCity身份验证绕过漏洞浅析

JetBrains TeamCity发布新版本(2023.11.4)修复了两个高危漏洞JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198)与JetBrains TeamCity 路径遍历漏洞(CVE-2024-27199)。未经身份验证的远程攻击者利用CVE-2024-27198可以绕过系统身份验证，创建管理员账户，完全控制所有TeamCity项目、构建、代理和构件，为攻击者执行供应链攻击。远程攻击者利用该漏洞能够绕过身份认证在系统上执行任意代码。