某cms的一次审计

网站目录├── addons（这个是个空目录）├── admin.php（后台入口）├── app（审计重点）├── extend（该cms的一些插件）├── favicon.ico（网站图标）├──…

 星盟安全团队 21天前

5,368 0 1

代码审计 | 利用思维导图快速读懂框架和理清思路

学习代码审计要熟悉三种技术,分四部分走一.编程语言 1.前端语言 html/javascript/dom元素使用，主要是为了挖掘xss漏洞，jquery 主要写一些涉及到CSRF脚…

 HACK_Learn 2020-03-06 16:50:43

15,402 1 0

代码审计之fortify工具篇

1.去下载装安装cms官网地址自行猜测，自行下载。主讲思路过程，任意一套系统都可。2.安装过程简单分析是否有漏洞不做安装分析，很多都程序都会删掉安装包，有兴趣的可以搞一下，这里略过。3.安装完成后，访…

 TideSec 2019-09-16 16:22:24

7,786 0 0

玩转php的编译与执行

0x00 写在开头曾几何时php一不小心闯入了我生活，php语法竟然和C语言那么莫名的相似，这是最初php给我的感受，当接触的php时间越来越多的时候，php也没有那般生涩难懂，但是偶尔一些的新的ph…

 Topsec-SRC 2019-07-02 11:13:00

5,854 1 7

MySQL日志安全分析技巧

常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析，可以发现攻击行为，进一步还原攻击场景及追溯攻击源。0x01 Mysql日志分析general query log能记…

 Bypass007 2019-06-20 14:35:57

5,329 1 2

PHP内核分析-FPM和disable_function安全问题

可能最近工作比较忙吧，也可能是比较懒了，效率不太高，最近几个月里断断续续看了部分PHP内核源码。在今年的TCTF中，出现了攻击FPM绕过沙盒的场景。决定探究下FPM生命周期和disable_funct…

 Rai4over 2019-06-14 15:47:05

6,024 1 1

简单入门python字节码混淆

前言我就是小菜鸡本鸡了，不是很会写东西，请各位大佬多多见谅。本文基于python2.7，因为python3并不是很懂。python文件如果要发布的话，有时候还是难免想保护一下自己的源码，有些人就直接编…

 ChaMd5安全团队 2019-05-22 15:02:46

6,187 1 5

.NET高级代码审计（第十一课） LosFormatter反序列化漏洞

0x00 前言LosFormatter一般也是用于序列化和反序列化Web窗体页的视图状态(ViewState)，如果要把ViewState 通过数据库或其他持久化设备来维持，则需要采用特定的 LosF…

 Ivan1ee 2019-04-24 14:22:36

6,112 1 7

.NET高级代码审计（第十课） ObjectStateFormatter反序列化漏洞

0x00 前言ObjectStateFormatter一般用于序列化和反序列化状态对象图，如常用的ViewState就是通过这个类做序列化的，位于命名空间 System.Web.UI，优点在…

 Ivan1ee 2019-04-18 16:37:32

5,581 0 2

.NET高级代码审计（第九课） BinaryFormatter反序列化漏洞

0x00 前言BinaryFormatter和SoapFormatter两个类之间的区别在于数据流的格式不同，其他的功能上两者差不多，BinaryFormatter位于命名空间 System…

 Ivan1ee 2019-04-17 14:46:03

5,204 1 2

.NET高级代码审计（第八课）SoapFormatter反序列化漏洞

0x00 前言SoapFormatter格式化器和下节课介绍的BinaryFormatter格式化器都是.NET内部实现的序列化功能的类，SoapFormatter直接派生自System.Object…

 Ivan1ee 2019-04-15 14:17:48

6,404 0 8

.NET高级代码审计（第七课） NetDataContractSerializer反序列化漏洞

0x00 前言NetDataContractSerializer和DataContractSerializer一样用于序列化和反序列化Windows Communication Foundation …

 Ivan1ee 2019-04-12 13:57:07

5,604 0 4

.NET高级代码审计（第六课） DataContractSerializer反序列化漏洞

0X00 前言DataContractSerializer类用于序列化和反序列化Windows Communication Foundation (WCF) 消息中发送的数据，用于…

 Ivan1ee 2019-04-03 10:40:42

5,998 0 1

Spring Security 02 — Basic Introduction Part II

Spring Security 5.1.4 RELEASE书接上文，在上一篇中介绍了Spring Security的基本组件以及基本的认证流程，此篇介绍一下Spring Security的一些核心服务…

 小米SRC 2019-03-27 10:27:40

5,861 0 3

.NET高级代码审计（第五课） .NET Remoting反序列化漏洞

0x00 前言最近几天国外安全研究员Soroush Dalili (@irsdl)公布了.NET Remoting应用程序可能存在反序列化安全风险，当服务端使用HTTP信道中的SoapServerFo…

 Ivan1ee 2019-03-26 14:40:49

6,856 0 2