Fastjson 1.2.24远程代码执行漏洞（com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl）

1.漏洞信息1.1 漏洞简介漏洞名称：Fastjson 1.2.24远程代码执行漏洞（com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImp…

 Further_eye 6天前

5,517 0 0

Fastjson 1.2.24远程代码执行漏洞（com.sun.rowset.JdbcRowSetImpl）

1.漏洞信息1.1 漏洞简介漏洞名称：Fastjson 1.2.24 Remote Code Execution （com.sun.rowset.JdbcRowSetImpl）漏洞编号：无漏洞类型：R…

 Further_eye 14天前

3,449 0 0

渗透测试之黑白无常

这是 酒仙桥六号部队 的第 20 篇文章。全文共计3002个字，预计阅读时长10分钟。1背景本文是前段时间做过的测试，当时并没有进行截图以及记录，所以本文全篇使用本地搭建…

 酒仙桥六号部队 2020-08-21 15:20:58

7,231 0 2

从RCE漏洞看国产网络安全产品的沦陷，论软件安全的重要性

近日，深信服EDR终端检测响应平台RCE漏洞复现，该事件引发了业内强烈关注。监控发现网络上出现关于深信服EDR终端检测响应平台存在0day漏洞信息，经过追踪调查确认该漏洞真实存在。攻击者利用该漏洞，可…

 开源网安 2020-08-21 10:38:02

6,440 0 2

老司机谈PHP代码审计的入门篇

代码审计,是对应用程序源代码进行系统性检查的工作。目的是为了找到并且修复应用程序在开发阶段存在的一些漏洞或者程序逻辑错误,避免程序漏洞被非法利用给企业带来不必要的风险。PHP代码审计我这里分享个基础篇…

 牛油果 1472301220 2020-08-07 10:55:49

7,714 1 2

某cms的一次审计

网站目录├── addons（这个是个空目录）├── admin.php（后台入口）├── app（审计重点）├── extend（该cms的一些插件）├── favicon.ico（网站图标）├──…

 星盟安全团队 2020-06-18 16:38:39

6,360 0 2

代码审计 | 利用思维导图快速读懂框架和理清思路

学习代码审计要熟悉三种技术,分四部分走一.编程语言 1.前端语言 html/javascript/dom元素使用，主要是为了挖掘xss漏洞，jquery 主要写一些涉及到CSRF脚…

 HACK_Learn 2020-03-06 16:50:43

16,085 1 1

代码审计之fortify工具篇

1.去下载装安装cms官网地址自行猜测，自行下载。主讲思路过程，任意一套系统都可。2.安装过程简单分析是否有漏洞不做安装分析，很多都程序都会删掉安装包，有兴趣的可以搞一下，这里略过。3.安装完成后，访…

 TideSec 2019-09-16 16:22:24

9,475 0 2

玩转php的编译与执行

0x00 写在开头曾几何时php一不小心闯入了我生活，php语法竟然和C语言那么莫名的相似，这是最初php给我的感受，当接触的php时间越来越多的时候，php也没有那般生涩难懂，但是偶尔一些的新的ph…

 Topsec-SRC 2019-07-02 11:13:00

6,277 1 8

MySQL日志安全分析技巧

常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析，可以发现攻击行为，进一步还原攻击场景及追溯攻击源。0x01 Mysql日志分析general query log能记…

 Bypass007 2019-06-20 14:35:57

5,892 1 3

PHP内核分析-FPM和disable_function安全问题

可能最近工作比较忙吧，也可能是比较懒了，效率不太高，最近几个月里断断续续看了部分PHP内核源码。在今年的TCTF中，出现了攻击FPM绕过沙盒的场景。决定探究下FPM生命周期和disable_funct…

 Rai4over 2019-06-14 15:47:05

6,545 1 2

简单入门python字节码混淆

前言我就是小菜鸡本鸡了，不是很会写东西，请各位大佬多多见谅。本文基于python2.7，因为python3并不是很懂。python文件如果要发布的话，有时候还是难免想保护一下自己的源码，有些人就直接编…

 ChaMd5安全团队 2019-05-22 15:02:46

6,845 1 6

.NET高级代码审计（第十一课） LosFormatter反序列化漏洞

0x00 前言LosFormatter一般也是用于序列化和反序列化Web窗体页的视图状态(ViewState)，如果要把ViewState 通过数据库或其他持久化设备来维持，则需要采用特定的 LosF…

 Ivan1ee 2019-04-24 14:22:36

6,450 1 8

.NET高级代码审计（第十课） ObjectStateFormatter反序列化漏洞

0x00 前言ObjectStateFormatter一般用于序列化和反序列化状态对象图，如常用的ViewState就是通过这个类做序列化的，位于命名空间 System.Web.UI，优点在…

 Ivan1ee 2019-04-18 16:37:32

5,907 0 3

.NET高级代码审计（第九课） BinaryFormatter反序列化漏洞

0x00 前言BinaryFormatter和SoapFormatter两个类之间的区别在于数据流的格式不同，其他的功能上两者差不多，BinaryFormatter位于命名空间 System…

 Ivan1ee 2019-04-17 14:46:03

5,503 1 3