0推荐

2487浏览

一个可以免杀国内主流杀软的恶意样本分析

本文细探讨了一种能够免杀国内所有杀软的恶意程序及其取证过程，全程取证过程在vmware虚拟机里进行并隔离断网

• 2
• cike_y 发布于 2025-01-08 09:30

3推荐

25783浏览

结合阿里云通义灵码辅助新手小白快速代码审计的最佳实践

本文介绍了作者在数据安全比赛中遇到的一个开源框架的代码审计过程。作者使用了多种工具，特别是“通义灵码”，帮助发现了多个高危漏洞，包括路径遍历、文件上传、目录删除、SQL注入和XSS漏洞。文章详细描述了如何利用这些工具进行漏洞定位和验证，并分享了使用“通义灵码”的心得和体验。最后，作者总结了AI在代码审计中的优势和不足，并展望了未来的发展方向。

• 3
• 周周的奇妙编程 发布于 2025-01-06 10:00

2推荐

2280浏览

Windows进程

进程这个观念我们现在都已经很熟悉了，进程是一个程序的运行实例，进程我们可以看做是操作系统为应用程序提供的资源容器，比如内存空间，文件句柄，设备以及网络连接等等。

• 1
• 南陈 发布于 2025-01-06 09:00

0推荐

2086浏览

一次窃取程序的恶意样本分析

一次窃取程序的恶意样本分析

• 0
• cike_y 发布于 2025-01-03 10:00

7推荐

3562浏览

文件读取漏洞实战利用

实战场景下的两个任意文件读取漏洞利用。

• 1
• subjcw 发布于 2024-12-31 10:00

2推荐

2120浏览

ios下某浏览器小说去广告分析与Hook

支持正版，从我做起，仅供学习！！

• 1
• 江小虫儿 发布于 2024-12-27 09:00

6推荐

5718浏览

利用js挖掘漏洞

在漏洞挖掘中，通过对js的挖掘可发现诸多安全问题，此文章主要记录学习如何利用JS测试以及加密参数逆向相关的漏洞挖掘。

• 18
• 中铁13层打工人 发布于 2024-11-26 09:37

9推荐

5066浏览

资产收集常用工具以及思路总结

渗透测试中拿到目标资产后需要对目标资产进行资产整理再进行测试，目标资产形式可能是企业名称、域名信息等。此篇文章主要总结对目标资产收集的一些思路、渠道和工具等。

• 21
• 中铁13层打工人 发布于 2024-11-15 10:00

6推荐

3649浏览

记一次hvv中供应链拿靶标的代码审计过程

某地市级hvv，某下级单位研究院官网使用了这套cms，通过供应链拿到源码，并开始了thinkphp3.2.3审计过程。

• 2
• 律师 发布于 2024-11-15 09:00

6推荐

4210浏览

一文搞懂加密流量检测的解决方法和技术细节

这篇文章从一个略懂密码学的安全分析工程师的角度围绕加密流量检测的问题开展详细的分析；让每一位读者明白加密流量的检测原理，以及目前市面上常见的检测方法落地。

• 3
• Ga0WeI 发布于 2024-11-14 09:58

0推荐

23629浏览

如何将 Node.js 应用程序中的文件写入提升为 RCE

在这篇博文中,我们将强调代码安全基础的重要性。我们会展示一个技术案例:攻击者如何能够把 Node.js 应用中的文件写入漏洞转化为远程代码执行,即便目标系统的文件系统是以只读方式挂载的。这个技术通过利用暴露的管道文件描述符来获得代码执行能力,从而绕过了这类加固环境中的限制。

• 1
• csallin 发布于 2024-11-01 10:00

1推荐

2690浏览

Jackson中Json隐式数据类型转换与参数走私浅析

在 Java 中处理 JSON 数据时，隐式数据类型转换通常是由 JSON 处理库自动进行的，这些库会根据 JSON 值的格式和上下文来推断并转换数据类型。浅析其中的参数走私案例。

• 0
• tkswifty 发布于 2024-11-01 09:00

15推荐

5956浏览

记一次实战小程序漏洞测试到严重漏洞

记录一次从小程序静态分析+动态调试获取到严重漏洞的过程

• 16
• 律师 发布于 2024-10-31 09:00

0推荐

3207浏览

在 EDR 时代恶意软件通过虚拟化逃避终端检测

本博客文章回顾了一种逃避工具的演变，旨在在红队合作中协助有效载荷传递。我们将涉及该工具的历史以及在进攻和防御进展面前的未来潜力。

• 1
• csallin 发布于 2024-10-30 09:40

4推荐

4322浏览

小程序sign逆向和渗透两种思路，总有一款适合你

解开微信devtools进行debug获取加密逻辑和还原js后硬逆，两种思路各有利弊

• 4
• 小惜渗透 发布于 2024-10-18 09:00