Zacky
对AWD流行开源WAF(1) -- Watchbird的白盒审计
白盒审计Watchbird--一款awd中的waf和流量检测设备 Watchbird项目地址:https://github.com/leohearts/awd-watchbird
- 1
- 0
- 用户071513905
- 发布于 2024-03-28 10:00:01
- 阅读 ( 1941 )
Socket Gateway - 代币交换逻辑漏洞
2024年1月17日,Socket Gateway 由于 performAction 函数中代码逻辑出现错误,导致大约330万美元的损失
- 0
- 0
- PeiQi
- 发布于 2024-02-04 10:00:02
- 阅读 ( 1873 )
PeiQi
SpringSecurity(Spring-WebFlux)动态配置资源权限绕过风险浅析
在SpringMVC中,使用SpringSecurity时可以通过实现FilterInvocationSecurityMetadataSource接口,在其中加载资源权限。实现动态配置资源权限。Spring MVC基于 Servlet 规范进行处理,而Spring WebFlux依赖于 Reactor 模块。两者在SpringSecurity的使用上还是有区别的。浅谈Spring-WebFlux动态配置资源权限场景在代码审计时需要关注的风险。
- 0
- 0
- tkswifty
- 发布于 2024-01-22 09:40:50
- 阅读 ( 2758 )
tkswifty
【Web实战】浅谈reactor netty httpclient请求解析过程
Reactor Netty HttpClient 是 Reactor Netty 框架提供的一个用于进行异步 HTTP 请求的客户端库。它基于 Reactor 框架,采用响应式编程模型,允许以非阻塞的方式执行 HTTP 请求和处理响应。浅谈其HTTP请求解析过程。
- 0
- 0
- tkswifty
- 发布于 2023-11-21 10:00:01
- 阅读 ( 2295 )
【Web实战】新手入门java审计
jsherpcms审计 环境搭建 源码:https://github.com/jishenghua/jshERP/releases/tag/2.3 下载之后用idea导入 导入数据库文件 然后修改配置文件 然后启动 测试用户:jsh,密码:123456 sql注...
- 3
- 0
- 永安寺
- 发布于 2023-12-04 09:00:00
- 阅读 ( 2834 )
【Web实战】对通达OA11前台RCE的两个漏洞的分析与调优
对通达OA11前台RCE的两个漏洞的分析与调优,本文所涉及漏洞均为互联网上已公开漏洞,仅用于合法合规用途,严禁用于违法违规用途。
- 0
- 0
- zcy2018
- 发布于 2023-11-16 10:00:00
- 阅读 ( 2572 )
【Web实战】浅谈Spring中的Controller参数的验证机制
在应用程序的业务逻辑中,数据校验是必须要考虑和面对的事情。应用程序必须通过某种手段保证输入进来的数据是安全可靠的。浅谈Spring中的Controller参数的验证机制。
- 0
- 0
- tkswifty
- 发布于 2023-11-16 09:00:02
- 阅读 ( 2248 )
浅谈okhttp3 HTTP请求解析过程
OKHttp是一个处理网络请求的开源项目,由Square公司开发,可以用于在 Android 和 Java 应用程序中进行网络通信。它提供了简洁的 API 和高效的性能,支持同步和异步请求、连接池、拦截器、缓存等功能,使网络通信更加便捷和灵活。浅谈其HTTP请求解析过程。
- 1
- 0
- tkswifty
- 发布于 2023-09-11 09:00:00
- 阅读 ( 2846 )
Mybatis-Flex浅析
MyBatis-Flex是一个MyBatis增强框架,它非常轻量、同时拥有极高的性能与灵活性。可以轻松的使用Mybaits-Flex连接任何数据库。浅析其中安全相关的问题。
- 0
- 0
- tkswifty
- 发布于 2023-09-04 09:00:02
- 阅读 ( 3813 )
浅谈Apache CXF与JAX-RS安全
Apache CXF 是 Apache 软件基金会下的一个开源项目,用于构建 Web Services 的应用程序。CXF 支持多种标准 Web Services 规范,如 JAX-RS 和 JAX-WS,并提供了基于这些规范的高效实现。浅谈其中可能遇到的安全问题。
- 0
- 0
- tkswifty
- 发布于 2023-08-09 09:00:00
- 阅读 ( 2968 )
浅谈Jersey文件上传解析
在Jersey中,可以通过jersey-media-multipart模块实现文件上传功能,浅谈其具体实现。
- 0
- 0
- tkswifty
- 发布于 2023-07-06 09:00:01
- 阅读 ( 3472 )
【PHP代码审计】Atutor2.2.4 CVE全复现
ATutor是一个开源基于Web的学习管理系统,2.2.4是目前的最新版本,我汇总了所有CVE进行复现,对国外站点PHP代码审计的学习有所帮助。
- 0
- 0
- pokeroot
- 发布于 2024-03-04 09:00:01
- 阅读 ( 2311 )
pokeroot
浅谈Spring WebFlux文件上传解析
在 Spring WebFlux 中,可以使用 org.springframework.http.codec.multipart.FilePart 来处理文件上传。浅谈其具体实现。
- 0
- 0
- tkswifty
- 发布于 2023-06-26 09:00:02
- 阅读 ( 4567 )
浅谈Apache Shiro请求解析过程
Apache Shiro内部其实是通过一个过滤器链来实现认证/鉴权等流程的。浅谈其中的请求解析过程。
- 0
- 0
- tkswifty
- 发布于 2023-04-24 09:00:00
- 阅读 ( 4676 )
浅谈SpringSecurity请求解析过程
Spring Security内部其实是通过一个过滤器链来实现认证/鉴权等流程的。浅谈其中的请求解析过程。
- 0
- 0
- tkswifty
- 发布于 2023-04-07 09:00:00
- 阅读 ( 5154 )
浅谈JFinal的DenyAccessJsp绕过
为了提升应用的安全性,JFinal 较新的版本默认不能对 .jsp 文件直接进行访问,也就是在浏览器地址栏中无法输入 .jsp 文件名去访问 jsp 文件,但是可以通过 renderJsp(xxx.jsp) 来访问 jsp 文件。但是实际上在某些场景下可以进行Bypass。
- 1
- 0
- tkswifty
- 发布于 2022-09-22 09:26:37
- 阅读 ( 5043 )
Ebean框架常见SQL注入场景
Ebean是一个ORM框架,利用其可以快速构建有类型约束的安全的SQL语句。本文主要介绍该框架常见的SQL注入场景。給代码安全审计提供一定的思路。
- 2
- 0
- tkswifty
- 发布于 2022-05-09 09:59:31
- 阅读 ( 4530 )