Java代码审计之ofcms | 技术精选0140

本文约2000字，阅读约需5分钟。话不多说，直接开始今天的代码审计。1环境搭建Github地址如下："https://github.com/yuzhaoyang001/ofcms"…

 酒仙桥六号部队 2022-08-12 15:29:12

7,958 0 2

代码审计之逃不过的命运

噩耗传来就这样被你征服，喝下你藏好的毒。。。。真的是爆头【抱头】唱征服。亡羊补牢反手就做个更新。漏洞复现• 后台增加可执行的语句。• 创建非管理组的用户• 换浏览器登录选择小明账户登录，此时注意，添加…

 TideSec 2022-08-03 15:10:18

8,193 0 1

代码安全 两种代码漏洞

没有什么能消除所有的错误，在编写的代码中也是如此。平均而言，所有代码都有错误。其中一些错误影响较小，有些会导致意外提前终止，少数会导致资源消耗失控。一些错误会导致安全漏洞，让用户做一些意想不到的事情，…

 中科天齐软件安全 2022-07-06 14:55:18

10,730 0 1

实战 | .NET高级代码审计反序列化Gadget之ExpandedWrapper

0x01 背景ExpandedWrapper在XmlSerializer反序列化过程发挥了至关重要的作用，完美的扩展了两个泛型类且它的公开的属性可以存储投影结果，正是由于提供了这么多强大的功能才被反序…

 HACK_Learn 2022-06-27 16:15:52

10,831 0 1

从代码审查视角看软件质量

理论基础软件质量是软件与明确地叙述的功能和性能需求、文档中明确描述的开发标准以及任何专业开发的软件产品都应该具有的隐含特性相一致的程度。作为软件开发人员怎样保证所研发的软件产品是一个高性能、无缺陷的的…

 小道安全 2022-04-26 17:04:56

13,116 0 4

使用错误的运算符进行字符串比较缺陷漏洞

一、什么是使用错误的运算符进行字符串比较缺陷?比较字符串时，使用了错误的运算符，例如当应使用equals()方法代替时，使用“==”。二、使用错误的运算符进行字符串比较缺陷的构成条件有哪些?使用“==…

 中科天齐软件安全 2022-03-30 12:20:32

13,274 0 1

表达式永假/永真缺陷缺陷漏洞

一、什么是表达式永假/永真缺陷?如果布尔表达式不改变程序逻辑，则完全没有必要，并且可以将其删除。如果执行逻辑与程序员的意图不匹配，这就是一个错误，布尔表达式应该被修复。二、表达式永假/永真缺陷的构成条…

 中科天齐软件安全 2022-03-29 17:42:19

13,044 0 1

代码缺陷解读：通用异常捕获声明缺陷漏洞

一、什么是通用异常捕获声明缺陷?捕获过于广泛的异常会导致复杂的错误处理代码，该代码更可能包含安全漏洞。二、通用异常捕获声明缺陷构成条件有哪些?的变量。捕捉异常似乎是处理多个可能异常的有效方法。不幸的是…

 中科天齐软件安全 2022-03-28 16:10:29

13,680 0 0

代码缺陷解读：使用过时方法缺陷漏洞

一、什么是使用过时方法缺陷?代码使用了不推荐使用的或已经过时的方法，这表明该代码没有得到积极地审查或维护。随着编程语言的发展，由于以下原因，方法有时会过时：1、语言进步2、更深入理解如何安全有效地执行…

 中科天齐软件安全 2022-03-25 14:30:17

13,814 0 1

可达的assertion漏洞会造成哪些后果?

本文主要为了助力企业有效防范软件安全漏洞，提升网络安全防护能力，本期主题为第五十期：可达的assertion的相关介绍。01 什么是可达的assertion?程序包含一个可以被攻击者触发的assert…

 中科天齐软件安全 2022-03-24 17:35:41

13,872 0 0

finalize()方法声明为public缺陷构成条件有哪些?

final修饰符(关键字)，若类被声明为final，意味着它不能再派生出新的子类，不能作为父类被继承。因此一个类不能既被声明为abstract，又被声明为final。将变量或方法声明为final，可以…

 中科天齐软件安全 2022-03-23 14:10:57

12,298 0 1

Switch中省略了break语句导致的代码缺陷

本期主题为Switch中省略了break语句导致的代码缺陷的相关介绍。01什么是Switch中省略了break语句导致的代码缺陷?break语句通常用在循环语句和switch语句中。当break用于s…

 中科天齐软件安全 2022-03-22 18:21:21

13,127 0 0

PHP代码执行集锦

点击蓝字关注我们前言代码审计总要遇到命令执行或者说RCE，打CTF的过程中难免不会碰见，毕竟PHP是世界上最好的语言，总结一下命令执行函数E.g.1 <?php  …

 合天网安实验室 2022-03-22 10:30:14

11,788 0 0

日志伪造漏洞

本期主题为日志伪造漏洞的相关介绍。01什么是日志伪造漏洞?应用程序通常使用日志文件来存储事件或事务的历史，以供以后查看、收集统计信息或调试。根据应用程序的性质，检查日志文件的任务可以根据需要手动执行，…

 中科天齐软件安全 2022-03-18 13:34:08

14,717 0 0

LDAP注入漏洞

本期主题为LDAP注入漏洞的相关介绍。01什么是LDAP注入漏洞?LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写，提供访问目录数据库方法的…

 中科天齐软件安全 2022-03-17 10:58:17

12,552 0 0