代码审计 | 安全脉搏

代码审计

代码审计Day5 – escapeshellarg与escapeshellcmd使用不当

本文转载自先知社区：https://xz.aliyun.com/t/2501 本文由红日安全成员： l1nk3r 编写，如有不当，还望斧正。前言大家好，我们是红日安全-代码审计小组…

红日安全团队 1天前

179 0 0
代码审计

代码审计Day4 – strpos使用不当引发漏洞

本文转载自先知社区：https://xz.aliyun.com/t/2467 本文由红日安全成员： l1nk3r 编写，如有不当，还望斧正。前言大家好，我们是红日安全-代码审计小组…

红日安全团队 2天前

4,151 0 0
代码审计

代码审计Day3 ——实例化任意对象漏洞

本文转载自先知社区：https://xz.aliyun.com/t/2459本文由红日安全成员：七月火编写，如有不当，还望斧正。前言大家好，我们是红日安全-代码审计小组。最近我…

红日安全团队 16天前

5,133 0 2
代码审计

代码审计Day2 —— filter_var函数缺陷

本文转载自先知社区：https://xz.aliyun.com/t/2457 本文由红日安全成员：七月火编写，如有不当，还望斧正。前言大家好，我们是红日安全-代码审计小组。最近…

红日安全团队 17天前

4,641 0 2
代码审计

代码审计Day1 —— in_array函数缺陷

本文转载自先知社区：https://xz.aliyun.com/t/2451本文由红日安全成员：七月火编写，如有不当，还望斧正。前言大家好，我们是红日安全-代码审计小组。最近我…

红日安全团队 18天前

2,834 0 1
代码审计

PHP源码调试分析

前言在看代码的时候遇到了PHP的一些函数，有些函数的特性很魔性，并不好理解。于是尝试搭建环境对PHP源码进行调试，希望更加深入的一些理解PHP的特性。必备安装目标：在Windo…

Rai4over 23天前

2,997 1 9
代码审计

基于python的自动化代码审计

本文通过介绍在python开发中经常出现的常规web漏洞，然后通过静态和动态两种方式对python代码进行自动化审计挖掘漏洞，并且展示自动化系统在…

逢魔安全实验室 2018-02-11 9:00:53

5,618 0 8
代码审计

代码审计小trick

Matthew在这里分享一些平时看到的审计小技巧以下都是平时自己看文章记录下来的知识点，欢迎交流。（1）出现了SSTI漏洞，在tp框架的情况下，渲染的文件始路径必须是以ThinkPHP的入口文件（in…

破壳漏洞社区 2018-01-26 9:44:54

4,886 0 8
Web安全

MySQL Order By 注入总结

前言最近在做一些漏洞盒子后台项目的总结，在盒子众多众测项目中，注入类的漏洞占比一直较大。其中Order By注入型的漏洞也占挺大一部分比例，这类漏洞也是白帽子乐意提交的类型（奖金高、被过滤概览小）。…

yuyang 2017-03-29 12:03:52

15,132 0 1
代码审计

移位溢注技术详析

介绍：在Access数据库类型注入的时候，我们获取不到列名(前提是有表名)，一般会选择使用偏移注入，但是这种注入方式往往借助的是个人的人品，且步骤繁琐。本文中我们研究了一种新的注入技术让“偏移注入不再…

米斯特安全攻防实验室 2017-03-01 6:45:24

8,183 0 0
代码审计

2017“百度杯”二月第二周Write Up

1,爆破一限制了只允许数字字母下划线利用超全局变量 $GLOBALS 获得FLAG 2,爆破二很明显的代码注入获得FLAG 3,爆破三 SESSION nums需要>=10…

yuyang 2017-02-21 3:47:11

7,332 0 0
代码审计

本地文件包含漏洞利用技巧

0x00 前言本文的主要目的是分享在服务器遭受文件包含漏洞时，使用各种技术对Web服务器进行攻击的想法。我们都知道LFI漏洞允许用户通过在URL中包括一个文件。在本文中，我使用了bWAPP和DVW…

yuyang 2017-02-17 5:28:33

9,386 0 2
Web安全

我的WafBypass之道（Misc篇）

先知技术社区独家发表本文，如需要转载，请先联系先知技术社区授权；未经授权请勿转载。先知技术社区投稿邮箱：Aliyun_xianzhi#service.alibaba.com； Author：Tr3j…

先知技术社区 2017-02-13 9:17:00

8,102 0 1
Web安全

【漏洞公告】Node.js反序列化远程代码执行漏洞通告CVE-2017-5941

Node.js爆出反序列化远程代码执行漏洞，该漏洞详情如下：1、综述Node.js是一个Javascript运行环境(runtime)。实际上它是对Google V8引擎进行了封装。V8引擎执行Jav…

yuyang 2017-02-11 13:49:23

10,614 0 0
代码审计

phpcms后台注入至getshell漏洞审计

本文由armyzer0团队原创投稿安全脉搏，安全脉搏独家发表本文，如需要转载，请先联系安全脉搏授权；未经授权请勿转载。漏洞存在文件phpcms\modules\dbsource\call.php的g…

armyzer0 2017-01-20 4:17:51

10,966 0 1

专栏作者

活动日程

2018-09-18

2018第三届SSC安全峰会

2018-09-04

第六届中国互联网安全大会(ISC2018)

2018-08-28

Xcon安全焦点峰会

2018-08-04

Black Hat USA 2018

2018-07-21

看雪2018安全开发者峰会（北京）

2018-07-09

13th（ISC）²亚太信息安全峰会（香港）

2018-06-24

FIRST 2018 Annual

2018-06-22

MOSEC移动安全技术峰会

2018-06-16

2018先知白帽大会

2018-06-04

Gartner 安全与风险管理峰会（华盛顿）

2018-05-17

反网络资讯犯罪年度峰会

2018-05-15

京东“618全民保障”活动公告

2018-05-13

DEF CON China

2018-05-05

唯品会第三届电商安全峰会

2018-03-30

ASRC2018生态大会议程

关注我们

友情链接

SecPluse

关注我们

合作伙伴

关于我们

安全脉搏（secpulse.com）是以互联网安全为核心的学习、交流、分享平台，集媒体、培训、招聘、社群为一体，全方位服务互联网安全相关的管理，研发和运维人，平台聚集了众多安全从业者及安全爱好者，他们在这里分享知识、招聘人才，与你一起成长。

©2013-2018 安全脉搏沪ICP备16016474号