【Web实战】记一次前台getshell组合拳审计的完整过程

本文内容仅限学习所用,请不要利用文中消息进行危害性测试。为保护此源码使用者的安全,本文中的源码系统名将做打码处理。 初学者学习中的小小收获,各位大佬轻喷。 1 整体审计 拿到源码,先做...

  • 2
  • 2
  • 阿斯特
  • 发布于 2023-11-08 09:00:01
  • 阅读 ( 4161 )

闪灵cms高校版代码审计

闪灵cms代码审计

  • 1
  • 5
  • Test001
  • 发布于 2023-10-20 09:00:01
  • 阅读 ( 4727 )

浅谈Spring与Filter&Interceptor解析过程

过滤器Filter&拦截器Interceptor是开发中常用到的重要组件,浅谈Spring与Filter&Interceptor解析过程。

  • 1
  • 1
  • tkswifty
  • 发布于 2023-09-25 09:00:00
  • 阅读 ( 5156 )

浅谈okhttp3 HTTP请求解析过程

OKHttp是一个处理网络请求的开源项目,由Square公司开发,可以用于在 Android 和 Java 应用程序中进行网络通信。它提供了简洁的 API 和高效的性能,支持同步和异步请求、连接池、拦截器、缓存等功能,使网络通信更加便捷和灵活。浅谈其HTTP请求解析过程。

  • 1
  • 0
  • tkswifty
  • 发布于 2023-09-11 09:00:00
  • 阅读 ( 4626 )

smartbi 登录绕过漏洞分析

本次漏洞是7月底修复的漏洞

Mybatis-Flex浅析

MyBatis-Flex是一个MyBatis增强框架,它非常轻量、同时拥有极高的性能与灵活性。可以轻松的使用Mybaits-Flex连接任何数据库。浅析其中安全相关的问题。

  • 0
  • 0
  • tkswifty
  • 发布于 2023-09-04 09:00:02
  • 阅读 ( 5718 )

某移动平台代码审计

该套系统是一次地市级hvv中,扫目录扫到备份文件拿到的,因为也是第一次审计.net,前期也没学过,可能也有很多解释的不对的地方望师傅们指出

浅谈Apache CXF与JAX-RS安全

Apache CXF 是 Apache 软件基金会下的一个开源项目,用于构建 Web Services 的应用程序。CXF 支持多种标准 Web Services 规范,如 JAX-RS 和 JAX-WS,并提供了基于这些规范的高效实现。浅谈其中可能遇到的安全问题。

  • 0
  • 0
  • tkswifty
  • 发布于 2023-08-09 09:00:00
  • 阅读 ( 4687 )

浅谈SpringMVC参数处理过程

在Java生态中,Spring全家桶是比较常见的。浅谈SpringMVC的参数处理过程。

  • 1
  • 1
  • tkswifty
  • 发布于 2023-08-03 09:00:00
  • 阅读 ( 4625 )

浅谈Struts2请求解析过程

在Java生态中,Struts2是比较常见的。浅谈其请求解析过程。

  • 0
  • 0
  • tkswifty
  • 发布于 2023-07-28 09:00:00
  • 阅读 ( 4683 )

浅谈Jersey文件上传解析

在Jersey中,可以通过jersey-media-multipart模块实现文件上传功能,浅谈其具体实现。

  • 0
  • 0
  • tkswifty
  • 发布于 2023-07-06 09:00:01
  • 阅读 ( 5005 )

浅谈Spring WebFlux文件上传解析

在 Spring WebFlux 中,可以使用 org.springframework.http.codec.multipart.FilePart 来处理文件上传。浅谈其具体实现。

  • 0
  • 0
  • tkswifty
  • 发布于 2023-06-26 09:00:02
  • 阅读 ( 6625 )

记一次java代码审计(2)

分享是一种学习

  • 4
  • 5
  • fan
  • 发布于 2023-06-06 09:00:02
  • 阅读 ( 7280 )

浅谈Spring与安全约束SecurityConstraint

在Java Web应用程序中,可以通过安全约束(Security Constraint)来实现访问控制。在Spring应用中,同样可以通过相应的安全约束进行访问控制,但是各个中间件与Spring两者间是存在一定的解析差异的,在某种情况下可能存在绕过的可能。

  • 1
  • 1
  • tkswifty
  • 发布于 2023-05-26 09:00:00
  • 阅读 ( 7102 )

BootstrapAdmin .Net 代码审计

本篇文章中的所有发现的相关漏洞已提交 Issues 或通知仓库拥有者本人。此前审计过PHP、JAVA的CMS,这次尝试审计使用.NET Core开发的Web网站。 这个不是传统的.NET WEB FRAMEWORK,因此我们没有看到项目中存在的Asp、Aspx等动态网页文件。紧随我的脚步,让我们一起感受代码审计的魅力。

  • 1
  • 3
  • en0th
  • 发布于 2023-05-18 09:00:02
  • 阅读 ( 6990 )

对基于企业微信的 SCRM 系统(LinkWechat )代码审计

公众号授权问题引发的漏洞!

  • 0
  • 1
  • JOHNSON
  • 发布于 2023-04-26 09:00:02
  • 阅读 ( 6789 )

浅谈Apache Shiro请求解析过程

Apache Shiro内部其实是通过一个过滤器链来实现认证/鉴权等流程的。浅谈其中的请求解析过程。

  • 0
  • 0
  • tkswifty
  • 发布于 2023-04-24 09:00:00
  • 阅读 ( 6350 )

浅谈SpringWeb请求解析过程

在Java生态中,Spring全家桶是比较常见的。浅谈SpringWeb的请求解析过程。

  • 1
  • 2
  • tkswifty
  • 发布于 2023-04-12 09:00:02
  • 阅读 ( 7505 )

浅谈SpringSecurity请求解析过程

Spring Security内部其实是通过一个过滤器链来实现认证/鉴权等流程的。浅谈其中的请求解析过程。

  • 0
  • 0
  • tkswifty
  • 发布于 2023-04-07 09:00:00
  • 阅读 ( 6974 )

Dreamer CMS 代码审计

关于dreamer cms的代码审计,该cms使用springboot+mybaits完成。审计发现后台存在不少问题,严重到可以获取服务器权限。

  • 6
  • 4
  • en0th
  • 发布于 2023-03-24 09:00:00
  • 阅读 ( 15752 )