代码审计 - 推荐的文章 - 第6页

Thinkphp8 反序列化链分析

Thinkphp8 反序列化调用链分析过程

1
0
kakakakaxi
发布于 2024-07-23 09:00:02
阅读 ( 3449 )

Jayway JsonPath JsonSmartJsonProvider模式参数走私浅析

Jayway JsonPath是json-path开源的一个用于读取 Json 文档的 Java DSL。JsonSmartJsonProvider 通常是其默认的 JsonProvider 实现。浅析其中潜在的参数走私场景。

0
0
tkswifty
发布于 2024-05-11 09:47:21
阅读 ( 5346 )

记一次golang的dsn注入之旅

0
0
Sakura501
发布于 2024-05-14 10:00:02
阅读 ( 3835 )

JNDI高版本JDK绕过--C3P0/HikariCP

JDNI注入漏洞已经很是众所周知了，针对高版本JDK的绕过方式主要是基于javax.naming.spi.ObjectFactory实现类的利用或者是通过反序列化进行绕过，本文主要讲述两个基于javax.naming.spi.ObjectFactory实现类来进行绕过高版本JDK点。

0
0
mechoy
发布于 2024-05-13 09:00:02
阅读 ( 4809 )

记一次pearcmd文件包含+session序列化

DASCTF X GFCTF 2024｜四月开启第一局的一道一解题目（SuiteCRM）和零解题目（web1234）的详细题解

0
0
Sakura501
发布于 2024-05-13 10:00:01
阅读 ( 4728 )

某cms代码审计

0
0
Whoisa
发布于 2024-04-25 09:00:01
阅读 ( 4637 )

黑名单过滤下为何还能无限制SQL注入！

记录一次代码审计中有意思的SQL注入以及一些别的漏洞！

2
0
Yu9
发布于 2024-04-24 09:00:02
阅读 ( 4441 )

Spring WebFlux参数处理过程与Content-type绕过浅析

Spring WebFlux是Spring Framework提供的用于构建响应式Web应用的模块，基于Reactive编程模型实现。它使用了Reactive Streams规范，并提供了一套响应式的Web编程模型，以便于处理高并发、高吞吐量的Web请求。本文主要分析Spring WebFlux在参数处理过程中是如何对Content-type进行处理的，以及跟Spring MVC的区别。

0
0
tkswifty
发布于 2024-04-08 09:42:02
阅读 ( 4253 )

Jersey参数处理过程与常见风险

Jersey是一个开源的RESTful Web服务框架，它实现了JAX-RS规范（JAX-RS是Java API for RESTful Web Services的简称，它是Java EE的一个规范，提供了一组用于创建RESTful Web服务的API。）中定义的API，并提供了许多额外的特性和工具来简化RESTful Web服务的开发。浅谈其参数处理过程。

0
0
tkswifty
发布于 2024-04-11 09:36:30
阅读 ( 3937 )

记一次项目中遇到的YII框架审计

转载

0
0
Zacky
发布于 2024-04-23 10:00:00
阅读 ( 3769 )

Java安全 - FreeMarker模版注入浅析

再学学SSTI

1
0
Zacky
发布于 2024-04-11 10:00:02
阅读 ( 5201 )

Java安全 - Learning Vaadin Gadget From CTF

转载

1
0
Zacky
发布于 2024-04-10 10:08:47
阅读 ( 3899 )

对AWD流行开源WAF（1） -- Watchbird的白盒审计

白盒审计Watchbird--一款awd中的waf和流量检测设备 Watchbird项目地址：https://github.com/leohearts/awd-watchbird

1
0
北极仙翁
发布于 2024-03-28 10:00:01
阅读 ( 7192 )

由浅继深的了解JNDI安全

0
0
刺头大哥
发布于 2024-02-28 09:46:34
阅读 ( 4551 )

SpringSecurity（Spring-WebFlux）动态配置资源权限绕过风险浅析

在SpringMVC中，使用SpringSecurity时可以通过实现FilterInvocationSecurityMetadataSource接口，在其中加载资源权限。实现动态配置资源权限。Spring MVC基于 Servlet 规范进行处理，而Spring WebFlux依赖于 Reactor 模块。两者在SpringSecurity的使用上还是有区别的。浅谈Spring-WebFlux动态配置资源权限场景在代码审计时需要关注的风险。

0
0
tkswifty
发布于 2024-01-22 09:40:50
阅读 ( 5888 )

【Web实战】浅谈reactor netty httpclient请求解析过程

Reactor Netty HttpClient 是 Reactor Netty 框架提供的一个用于进行异步 HTTP 请求的客户端库。它基于 Reactor 框架，采用响应式编程模型，允许以非阻塞的方式执行 HTTP 请求和处理响应。浅谈其HTTP请求解析过程。

0
0
tkswifty
发布于 2023-11-21 10:00:01
阅读 ( 5472 )

【Web实战】新手入门java审计

jsherpcms审计环境搭建源码：https://github.com/jishenghua/jshERP/releases/tag/2.3 下载之后用idea导入导入数据库文件然后修改配置文件然后启动测试用户：jsh，密码：123456 sql注...

4
0
永安寺
发布于 2023-12-04 09:00:00
阅读 ( 5790 )

【Web实战】对通达OA11前台RCE的两个漏洞的分析与调优

对通达OA11前台RCE的两个漏洞的分析与调优，本文所涉及漏洞均为互联网上已公开漏洞,仅用于合法合规用途，严禁用于违法违规用途。

0
0
zcy2018
发布于 2023-11-16 10:00:00
阅读 ( 5394 )

【Web实战】浅谈Spring中的Controller参数的验证机制

在应用程序的业务逻辑中，数据校验是必须要考虑和面对的事情。应用程序必须通过某种手段保证输入进来的数据是安全可靠的。浅谈Spring中的Controller参数的验证机制。

0
0
tkswifty
发布于 2023-11-16 09:00:02
阅读 ( 5032 )

浅谈okhttp3 HTTP请求解析过程

OKHttp是一个处理网络请求的开源项目，由Square公司开发，可以用于在 Android 和 Java 应用程序中进行网络通信。它提供了简洁的 API 和高效的性能，支持同步和异步请求、连接池、拦截器、缓存等功能，使网络通信更加便捷和灵活。浅谈其HTTP请求解析过程。

1
0
tkswifty
发布于 2023-09-11 09:00:00
阅读 ( 5909 )