RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

半自动化代码审计实战

无论我们在手工代码审计中具备多么扎实的技术背景、丰富的经验和敏锐的洞察力,仍然会存在着一些局限性;为了克服这些局限性,使用自动化代码审计工具可以快速识别所有可疑漏洞的位置,从而提高审计的效率和准确性!

  • 12
  • 14
  • Yu9
  • 发布于 2024-02-22 09:00:01
  • 阅读 ( 16306 )

记一次渗透实战-代码审计到getshell

一次渗透测试遇见的系统,遂进行代码审计

  • 16
  • 14
  • dota_st
  • 发布于 2022-02-14 09:28:23
  • 阅读 ( 12724 )

某移动平台代码审计

该套系统是一次地市级hvv中,扫目录扫到备份文件拿到的,因为也是第一次审计.net,前期也没学过,可能也有很多解释的不对的地方望师傅们指出

java代审那些笔记之若只如初见

之前给自己挖了几个大坑,一系列的总结文档还没有弄完,又碰上审计了,顺便记录记录下~有啥问题或建议,望大佬们,多多指点。

  • 15
  • 13
  • 0nlyuAar0n
  • 发布于 2023-01-17 09:00:02
  • 阅读 ( 16753 )

Java代码审计入门

在安全从业人员的日常工作中,Java相关组件出现高危漏洞的频率比较高。 而代码审计就是挖掘源程序中的代码安全问题,其一直是发现应用程序漏洞的一种非常有效的方法。 代码审计是黑盒渗透测试的重要补充,可以发现更多的隐藏问题。 因此,代码审计通常被认为是 SDL 中非常重要的一部分。

SnakeYaml 不出网 RCE 新链(JDK原生链)挖掘

其他所有链, 要么需要一些依赖, 要么需要出网 (打 JNDI), 难道 SnakeYaml 在原生的 JDK 下无法不出网 RCE 了么?答案非也.

  • 5
  • 6
  • Heihu577
  • 发布于 2025-07-29 10:00:01
  • 阅读 ( 4338 )

记一次hvv中供应链拿靶标的代码审计过程

某地市级hvv,某下级单位研究院官网使用了这套cms,通过供应链拿到源码,并开始了thinkphp3.2.3审计过程。

  • 2
  • 6
  • 律师
  • 发布于 2024-11-15 09:00:02
  • 阅读 ( 5718 )

bc实战代码审计拿下后台、数据库

记一次bc实战代码审计

  • 6
  • 6
  • NoneSec
  • 发布于 2021-07-30 14:05:00
  • 阅读 ( 12335 )

红队快速高效挖掘.net系统漏洞技巧

在红队攻防对抗中,.NET 应用由于采用前端页面(ASPX/ASHX)与托管程序集(DLL)分层架构,这种编译形态具备高度可逆性,使得核心代码逻辑能够通过反编译工具几乎完整还原。利用这一特性,我们可以在获取 DLL 后快速还原源码,通过静态审计与动态调试高效定位 SQL 注入、命令执行、文件上传等高危漏洞。本文将结合漏洞sink点、通用绕过手段与实战案例拆解 .NET 体系下的漏洞挖掘思路,帮助师傅们在红队场景中实现真正的快速高效挖0day。

  • 7
  • 5
  • hyyrent
  • 发布于 2025-12-01 10:00:03
  • 阅读 ( 1907 )

通过代码审计某友获取CNVD高危证书

之前跟朋友聊到这个用友系统,说是存在很多漏洞,他审计了几个反序列漏洞的,也都发证书了。 自己也定了一个目标,今年搞几张高危证书,简单讲一下通过代码审计获取高危证书过程。

  • 5
  • 5
  • webqs
  • 发布于 2024-06-07 11:16:25
  • 阅读 ( 8467 )

某低代码平台代码审计分析

某次项目中遇到的系统,发现还是开源的,于是就下下来小审一下,从权限绕过到getshell,还是比较有收获。

  • 6
  • 5
  • Qiu_
  • 发布于 2024-05-22 09:00:00
  • 阅读 ( 7416 )

Java代码审计初试

本文为Java代码审计入门的一篇文章,学习SSM框架的开源代码审计

  • 6
  • 5
  • Cl0wnkey
  • 发布于 2024-01-16 09:00:02
  • 阅读 ( 7998 )

闪灵cms高校版代码审计

闪灵cms代码审计

  • 1
  • 5
  • Test001
  • 发布于 2023-10-20 09:00:01
  • 阅读 ( 7800 )

记一次java代码审计(2)

分享是一种学习

  • 4
  • 5
  • fan
  • 发布于 2023-06-06 09:00:02
  • 阅读 ( 10671 )

第一次java代码审计供新手学习

学习java审计的尝试

  • 8
  • 5
  • 永安寺
  • 发布于 2022-12-29 09:00:01
  • 阅读 ( 13901 )

从DesperateCat到EL webshell初探

通过RWCTF2022的一道web联想到的EL webshell简单实现与混淆

  • 3
  • 5
  • springtime
  • 发布于 2022-09-14 09:38:21
  • 阅读 ( 16351 )

记一次Java代码审计

最近在学习Java代码审计,找了一个Java写的CMS练练手

  • 6
  • 5
  • 好家伙
  • 发布于 2022-01-06 09:38:21
  • 阅读 ( 11647 )

从某教学视频应用云平台入门.net审计

ASP.NET审计入门学习

Dreamer CMS 代码审计

关于dreamer cms的代码审计,该cms使用springboot+mybaits完成。审计发现后台存在不少问题,严重到可以获取服务器权限。

  • 6
  • 4
  • en0th
  • 发布于 2023-03-24 09:00:00
  • 阅读 ( 20729 )

一次对在线文档预览的JAVA代码审计

一次JAVA代码,文中内容有:XSS 挖掘修复与绕过,文件读取与文件写入漏洞分析与挖掘。

  • 3
  • 4
  • JOHNSON
  • 发布于 2023-01-13 09:00:01
  • 阅读 ( 12030 )