RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

浅谈Spring与安全约束SecurityConstraint

在Java Web应用程序中,可以通过安全约束(Security Constraint)来实现访问控制。在Spring应用中,同样可以通过相应的安全约束进行访问控制,但是各个中间件与Spring两者间是存在一定的解析差异的,在某种情况下可能存在绕过的可能。

  • 1
  • 1
  • tkswifty
  • 发布于 2023-05-26 09:00:00
  • 阅读 ( 9214 )

BootstrapAdmin .Net 代码审计

本篇文章中的所有发现的相关漏洞已提交 Issues 或通知仓库拥有者本人。此前审计过PHP、JAVA的CMS,这次尝试审计使用.NET Core开发的Web网站。 这个不是传统的.NET WEB FRAMEWORK,因此我们没有看到项目中存在的Asp、Aspx等动态网页文件。紧随我的脚步,让我们一起感受代码审计的魅力。

  • 1
  • 3
  • en0th
  • 发布于 2023-05-18 09:00:02
  • 阅读 ( 9268 )

对基于企业微信的 SCRM 系统(LinkWechat )代码审计

公众号授权问题引发的漏洞!

  • 0
  • 1
  • JOHNSON
  • 发布于 2023-04-26 09:00:02
  • 阅读 ( 8804 )

浅谈Apache Shiro请求解析过程

Apache Shiro内部其实是通过一个过滤器链来实现认证/鉴权等流程的。浅谈其中的请求解析过程。

  • 0
  • 0
  • tkswifty
  • 发布于 2023-04-24 09:00:00
  • 阅读 ( 8133 )

浅谈SpringWeb请求解析过程

在Java生态中,Spring全家桶是比较常见的。浅谈SpringWeb的请求解析过程。

  • 1
  • 2
  • tkswifty
  • 发布于 2023-04-12 09:00:02
  • 阅读 ( 9519 )

浅谈SpringSecurity请求解析过程

Spring Security内部其实是通过一个过滤器链来实现认证/鉴权等流程的。浅谈其中的请求解析过程。

  • 0
  • 0
  • tkswifty
  • 发布于 2023-04-07 09:00:00
  • 阅读 ( 9234 )

Dreamer CMS 代码审计

关于dreamer cms的代码审计,该cms使用springboot+mybaits完成。审计发现后台存在不少问题,严重到可以获取服务器权限。

  • 6
  • 4
  • en0th
  • 发布于 2023-03-24 09:00:00
  • 阅读 ( 18313 )

PHP代码审计--OTCMS

本文审计版本为php老版本,非最新版,仅为了学习代码审计

  • 0
  • 1
  • Cl0wnkey
  • 发布于 2023-03-02 09:00:01
  • 阅读 ( 8007 )

java代审那些笔记之若只如初见

之前给自己挖了几个大坑,一系列的总结文档还没有弄完,又碰上审计了,顺便记录记录下~有啥问题或建议,望大佬们,多多指点。

  • 16
  • 13
  • 0nlyuAar0n
  • 发布于 2023-01-17 09:00:02
  • 阅读 ( 13518 )

一次对在线文档预览的JAVA代码审计

一次JAVA代码,文中内容有:XSS 挖掘修复与绕过,文件读取与文件写入漏洞分析与挖掘。

  • 3
  • 4
  • JOHNSON
  • 发布于 2023-01-13 09:00:01
  • 阅读 ( 10532 )

第一次java代码审计供新手学习

学习java审计的尝试

  • 8
  • 4
  • 永安寺
  • 发布于 2022-12-29 09:00:01
  • 阅读 ( 12364 )

记一次学习java代码审计

近期学习的代码审计

  • 6
  • 3
  • fan
  • 发布于 2022-12-02 09:00:02
  • 阅读 ( 9119 )

2022强网拟态WP-Web(ALL)

上周周末打了两天的2022强网拟态全部Web的做题记录WP

  • 1
  • 1
  • markin
  • 发布于 2022-11-09 10:24:40
  • 阅读 ( 9572 )

TP6.0.13反序列化分析

ThinkPHP6.0.13反序列化漏洞分析,写的不对的地方望各位师傅指出。

  • 1
  • 1
  • NaMi
  • 发布于 2022-09-29 10:00:06
  • 阅读 ( 8035 )

浅谈JFinal的DenyAccessJsp绕过

为了提升应用的安全性,JFinal 较新的版本默认不能对 .jsp 文件直接进行访问,也就是在浏览器地址栏中无法输入 .jsp 文件名去访问 jsp 文件,但是可以通过 renderJsp(xxx.jsp) 来访问 jsp 文件。但是实际上在某些场景下可以进行Bypass。

  • 1
  • 0
  • tkswifty
  • 发布于 2022-09-22 09:26:37
  • 阅读 ( 9300 )

从DesperateCat到EL webshell初探

通过RWCTF2022的一道web联想到的EL webshell简单实现与混淆

  • 3
  • 5
  • springtime
  • 发布于 2022-09-14 09:38:21
  • 阅读 ( 14849 )

CSCMS代码审计(php)

CSCMS是一款强大的多功能内容管理系统,采用php5+mysql进行开发,运用OOP(面向对象)方式进行框架搭建。CSCMS用CodeIgniter框架作为内核开发,基于MVC模式。很适合拿来练手。

  • 6
  • 4
  • St3pBy
  • 发布于 2022-06-08 09:45:42
  • 阅读 ( 8955 )

记一次绕过后缀安全检查进行文件上传

在Windows系统中,如果保存文件的文件名是以点结尾,系统会自动将点去掉。利用这一特点在某些场景下可以绕过对应的文件后缀检查,达到任意文件上传的效果。

  • 3
  • 3
  • tkswifty
  • 发布于 2022-05-27 09:43:53
  • 阅读 ( 11607 )

Ebean框架常见SQL注入场景

Ebean是一个ORM框架,利用其可以快速构建有类型约束的安全的SQL语句。本文主要介绍该框架常见的SQL注入场景。給代码安全审计提供一定的思路。

  • 2
  • 0
  • tkswifty
  • 发布于 2022-05-09 09:59:31
  • 阅读 ( 7838 )

JOOQ框架常见SQL注入场景

JOOQ是一个ORM框架,利用其生成的Java代码和流畅的API,可以快速构建有类型约束的安全的SQL语句。本文主要介绍该框架常见的SQL注入场景。給代码安全审计提供一定的思路。

  • 1
  • 2
  • tkswifty
  • 发布于 2022-05-06 09:50:24
  • 阅读 ( 8287 )