代码审计 - 推荐的文章 - 第6页

某cms代码审计

0
0
Whoisa
发布于 2024-04-25 09:00:01
阅读 ( 3535 )

黑名单过滤下为何还能无限制SQL注入！

记录一次代码审计中有意思的SQL注入以及一些别的漏洞！

1
0
Yu9
发布于 2024-04-24 09:00:02
阅读 ( 3353 )

Spring WebFlux参数处理过程与Content-type绕过浅析

Spring WebFlux是Spring Framework提供的用于构建响应式Web应用的模块，基于Reactive编程模型实现。它使用了Reactive Streams规范，并提供了一套响应式的Web编程模型，以便于处理高并发、高吞吐量的Web请求。本文主要分析Spring WebFlux在参数处理过程中是如何对Content-type进行处理的，以及跟Spring MVC的区别。

0
0
tkswifty
发布于 2024-04-08 09:42:02
阅读 ( 2900 )

Jersey参数处理过程与常见风险

Jersey是一个开源的RESTful Web服务框架，它实现了JAX-RS规范（JAX-RS是Java API for RESTful Web Services的简称，它是Java EE的一个规范，提供了一组用于创建RESTful Web服务的API。）中定义的API，并提供了许多额外的特性和工具来简化RESTful Web服务的开发。浅谈其参数处理过程。

0
0
tkswifty
发布于 2024-04-11 09:36:30
阅读 ( 2847 )

记一次项目中遇到的YII框架审计

转载

0
0
Zacky
发布于 2024-04-23 10:00:00
阅读 ( 2793 )

Java安全 - FreeMarker模版注入浅析

再学学SSTI

0
0
Zacky
发布于 2024-04-11 10:00:02
阅读 ( 3647 )

Java安全 - Learning Vaadin Gadget From CTF

转载

0
0
Zacky
发布于 2024-04-10 10:08:47
阅读 ( 2923 )

对AWD流行开源WAF（1） -- Watchbird的白盒审计

白盒审计Watchbird--一款awd中的waf和流量检测设备 Watchbird项目地址：https://github.com/leohearts/awd-watchbird

1
0
用户071513905
发布于 2024-03-28 10:00:01
阅读 ( 5899 )

由浅继深的了解JNDI安全

0
0
刺头大哥
发布于 2024-02-28 09:46:34
阅读 ( 3640 )

SpringSecurity（Spring-WebFlux）动态配置资源权限绕过风险浅析

在SpringMVC中，使用SpringSecurity时可以通过实现FilterInvocationSecurityMetadataSource接口，在其中加载资源权限。实现动态配置资源权限。Spring MVC基于 Servlet 规范进行处理，而Spring WebFlux依赖于 Reactor 模块。两者在SpringSecurity的使用上还是有区别的。浅谈Spring-WebFlux动态配置资源权限场景在代码审计时需要关注的风险。

0
0
tkswifty
发布于 2024-01-22 09:40:50
阅读 ( 4701 )

【Web实战】浅谈reactor netty httpclient请求解析过程

Reactor Netty HttpClient 是 Reactor Netty 框架提供的一个用于进行异步 HTTP 请求的客户端库。它基于 Reactor 框架，采用响应式编程模型，允许以非阻塞的方式执行 HTTP 请求和处理响应。浅谈其HTTP请求解析过程。

0
0
tkswifty
发布于 2023-11-21 10:00:01
阅读 ( 4153 )

【Web实战】新手入门java审计

jsherpcms审计环境搭建源码：https://github.com/jishenghua/jshERP/releases/tag/2.3 下载之后用idea导入导入数据库文件然后修改配置文件然后启动测试用户：jsh，密码：123456 sql注...

4
0
永安寺
发布于 2023-12-04 09:00:00
阅读 ( 4644 )

【Web实战】对通达OA11前台RCE的两个漏洞的分析与调优

对通达OA11前台RCE的两个漏洞的分析与调优，本文所涉及漏洞均为互联网上已公开漏洞,仅用于合法合规用途，严禁用于违法违规用途。

0
0
zcy2018
发布于 2023-11-16 10:00:00
阅读 ( 4147 )

【Web实战】浅谈Spring中的Controller参数的验证机制

在应用程序的业务逻辑中，数据校验是必须要考虑和面对的事情。应用程序必须通过某种手段保证输入进来的数据是安全可靠的。浅谈Spring中的Controller参数的验证机制。

0
0
tkswifty
发布于 2023-11-16 09:00:02
阅读 ( 3901 )

浅谈okhttp3 HTTP请求解析过程

OKHttp是一个处理网络请求的开源项目，由Square公司开发，可以用于在 Android 和 Java 应用程序中进行网络通信。它提供了简洁的 API 和高效的性能，支持同步和异步请求、连接池、拦截器、缓存等功能，使网络通信更加便捷和灵活。浅谈其HTTP请求解析过程。

1
0
tkswifty
发布于 2023-09-11 09:00:00
阅读 ( 4605 )

Mybatis-Flex浅析

MyBatis-Flex是一个MyBatis增强框架，它非常轻量、同时拥有极高的性能与灵活性。可以轻松的使用Mybaits-Flex连接任何数据库。浅析其中安全相关的问题。

0
0
tkswifty
发布于 2023-09-04 09:00:02
阅读 ( 5697 )

浅谈Apache CXF与JAX-RS安全

Apache CXF 是 Apache 软件基金会下的一个开源项目，用于构建 Web Services 的应用程序。CXF 支持多种标准 Web Services 规范，如 JAX-RS 和 JAX-WS，并提供了基于这些规范的高效实现。浅谈其中可能遇到的安全问题。

0
0
tkswifty
发布于 2023-08-09 09:00:00
阅读 ( 4665 )

浅谈Struts2请求解析过程

在Java生态中，Struts2是比较常见的。浅谈其请求解析过程。

0
0
tkswifty
发布于 2023-07-28 09:00:00
阅读 ( 4663 )

浅谈Jersey文件上传解析

在Jersey中，可以通过jersey-media-multipart模块实现文件上传功能，浅谈其具体实现。

0
0
tkswifty
发布于 2023-07-06 09:00:01
阅读 ( 4986 )

【PHP代码审计】Atutor2.2.4 CVE全复现

ATutor是一个开源基于Web的学习管理系统，2.2.4是目前的最新版本，我汇总了所有CVE进行复现，对国外站点PHP代码审计的学习有所帮助。

0
0
pokeroot
发布于 2024-03-04 09:00:01
阅读 ( 3821 )