-
PHP内核分析-FPM和disable_function安全问题
可能最近工作比较忙吧,也可能是比较懒了,效率不太高,最近几个月里断断续续看了部分PHP内核源码。在今年的TCTF中,出现了攻击FPM绕过沙盒的场景。决定探究下FPM生命周期和disable_funct…
-
.NET高级代码审计(第十一课) LosFormatter反序列化漏洞
0x00 前言LosFormatter一般也是用于序列化和反序列化Web窗体页的视图状态(ViewState),如果要把ViewState 通过数据库或其他持久化设备来维持,则需要采用特定的 LosF…
-
.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞
0x00 前言ObjectStateFormatter一般用于序列化和反序列化状态对象图,如常用的ViewState就是通过这个类做序列化的,位于命名空间 System.Web.UI,优点在…
-
.NET高级代码审计(第九课) BinaryFormatter反序列化漏洞
0x00 前言BinaryFormatter和SoapFormatter两个类之间的区别在于数据流的格式不同,其他的功能上两者差不多,BinaryFormatter位于命名空间 System…
-
.NET高级代码审计(第八课)SoapFormatter反序列化漏洞
0x00 前言SoapFormatter格式化器和下节课介绍的BinaryFormatter格式化器都是.NET内部实现的序列化功能的类,SoapFormatter直接派生自System.Object…
-
.NET高级代码审计(第七课) NetDataContractSerializer反序列化漏洞
0x00 前言NetDataContractSerializer和DataContractSerializer一样用于序列化和反序列化Windows Communication Foundation …
-
.NET高级代码审计(第六课) DataContractSerializer反序列化漏洞
0X00 前言DataContractSerializer类用于序列化和反序列化Windows Communication Foundation (WCF) 消息中发送的数据,用于…
-
Spring Security 02 — Basic Introduction Part II
Spring Security 5.1.4 RELEASE书接上文,在上一篇中介绍了Spring Security的基本组件以及基本的认证流程,此篇介绍一下Spring Security的一些核心服务…
-
.NET高级代码审计(第五课) .NET Remoting反序列化漏洞
0x00 前言最近几天国外安全研究员Soroush Dalili (@irsdl)公布了.NET Remoting应用程序可能存在反序列化安全风险,当服务端使用HTTP信道中的SoapServerFo…
-
[红日安全]代码审计Day17 – Raw MD5 Hash引发的注入
本文由红日安全成员: l1nk3r 编写,如有不当,还望斧正。前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起…
-
Spring Security 01 — Basic Introduction Part I
Spring Security 5.1.4 RELEASE对于使用Java进行开发的同学来说,Spring算是一个比较热门的选择,包括现在流行的Spring Boot更是能快速上手,并让开发者更好的关…
-
.NET高级代码审计(第四课) JavaScriptSerializer反序列化漏洞
0X00 前言在.NET处理 Ajax应用的时候,通常序列化功能由JavaScriptSerializer类提供,它是.NET2.0之后内部实现的序列化功能的类,位于命名空间System.Web.Sc…
Bypass007
Rai4over
ChaMd5安全团队
Ivan1ee
小米SRC
红日安全团队
京东SRC
安全问答社区
脉搏官方公众号
