代码审计之fortify工具篇

1.去下载装安装cms官网地址自行猜测，自行下载。主讲思路过程，任意一套系统都可。2.安装过程简单分析是否有漏洞不做安装分析，很多都程序都会删掉安装包，有兴趣的可以搞一下，这里略过。3.安装完成后，访…

 TideSec 2019-09-16 16:22:24

5,873 0 0

玩转php的编译与执行

0x00 写在开头曾几何时php一不小心闯入了我生活，php语法竟然和C语言那么莫名的相似，这是最初php给我的感受，当接触的php时间越来越多的时候，php也没有那般生涩难懂，但是偶尔一些的新的ph…

 Topsec-SRC 2019-07-02 11:13:00

5,154 1 7

MySQL日志安全分析技巧

常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析，可以发现攻击行为，进一步还原攻击场景及追溯攻击源。0x01 Mysql日志分析general query log能记…

 Bypass007 2019-06-20 14:35:57

4,599 1 1

PHP内核分析-FPM和disable_function安全问题

可能最近工作比较忙吧，也可能是比较懒了，效率不太高，最近几个月里断断续续看了部分PHP内核源码。在今年的TCTF中，出现了攻击FPM绕过沙盒的场景。决定探究下FPM生命周期和disable_funct…

 Rai4over 2019-06-14 15:47:05

5,310 1 1

简单入门python字节码混淆

前言我就是小菜鸡本鸡了，不是很会写东西，请各位大佬多多见谅。本文基于python2.7，因为python3并不是很懂。python文件如果要发布的话，有时候还是难免想保护一下自己的源码，有些人就直接编…

 ChaMd5安全团队 2019-05-22 15:02:46

5,318 1 5

.NET高级代码审计（第十一课） LosFormatter反序列化漏洞

0x00 前言LosFormatter一般也是用于序列化和反序列化Web窗体页的视图状态(ViewState)，如果要把ViewState 通过数据库或其他持久化设备来维持，则需要采用特定的 LosF…

 Ivan1ee 2019-04-24 14:22:36

5,593 1 7

.NET高级代码审计（第十课） ObjectStateFormatter反序列化漏洞

0x00 前言ObjectStateFormatter一般用于序列化和反序列化状态对象图，如常用的ViewState就是通过这个类做序列化的，位于命名空间 System.Web.UI，优点在…

 Ivan1ee 2019-04-18 16:37:32

5,057 0 2

.NET高级代码审计（第九课） BinaryFormatter反序列化漏洞

0x00 前言BinaryFormatter和SoapFormatter两个类之间的区别在于数据流的格式不同，其他的功能上两者差不多，BinaryFormatter位于命名空间 System…

 Ivan1ee 2019-04-17 14:46:03

4,536 1 2

.NET高级代码审计（第八课）SoapFormatter反序列化漏洞

0x00 前言SoapFormatter格式化器和下节课介绍的BinaryFormatter格式化器都是.NET内部实现的序列化功能的类，SoapFormatter直接派生自System.Object…

 Ivan1ee 2019-04-15 14:17:48

5,719 0 8

.NET高级代码审计（第七课） NetDataContractSerializer反序列化漏洞

0x00 前言NetDataContractSerializer和DataContractSerializer一样用于序列化和反序列化Windows Communication Foundation …

 Ivan1ee 2019-04-12 13:57:07

5,175 0 4

.NET高级代码审计（第六课） DataContractSerializer反序列化漏洞

0X00 前言DataContractSerializer类用于序列化和反序列化Windows Communication Foundation (WCF) 消息中发送的数据，用于…

 Ivan1ee 2019-04-03 10:40:42

5,396 0 1

Spring Security 02 — Basic Introduction Part II

Spring Security 5.1.4 RELEASE书接上文，在上一篇中介绍了Spring Security的基本组件以及基本的认证流程，此篇介绍一下Spring Security的一些核心服务…

 小米SRC 2019-03-27 10:27:40

5,458 0 3

.NET高级代码审计（第五课） .NET Remoting反序列化漏洞

0x00 前言最近几天国外安全研究员Soroush Dalili (@irsdl)公布了.NET Remoting应用程序可能存在反序列化安全风险，当服务端使用HTTP信道中的SoapServerFo…

 Ivan1ee 2019-03-26 14:40:49

6,425 0 2

[红日安全]代码审计Day17 – Raw MD5 Hash引发的注入

本文由红日安全成员： l1nk3r 编写，如有不当，还望斧正。前言大家好，我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目，供大家学习交流，我们给这个项目起…

 红日安全团队 2019-03-22 14:30:46

7,323 1 2

Spring Security 01 — Basic Introduction Part I

Spring Security 5.1.4 RELEASE对于使用Java进行开发的同学来说，Spring算是一个比较热门的选择，包括现在流行的Spring Boot更是能快速上手，并让开发者更好的关…

 小米SRC 2019-03-22 10:25:32

6,040 0 2