记一次简单的XSS漏洞审计

文章来源 |MS08067 Java代码审计5期作业本文作者：zoom7 1、全局搜索XSS Filter 未发现对XSS进行过滤2、登录后发现XSS功能点3、测试4、抓包查看路由…

 Ms08067安全实验室 28天前

10,000 0 0

红队-java代码审计生命周期

红队-java代码审计生命周期@深信服-华南天玄攻防战队-KBAT前言红队java代码审计生命周期中常见的一些漏洞学习总结以及一些审计思路。红队-java代码审计生命周期过程源码获取->审计环境…

 KB-AT 2022-12-20 11:31:26

8,812 0 3

SUPER站群命令执行之官方审核

简介某站群原来是我们内部自己开发使用的一套程序，后来看到很多人有相似的需求，团队决定发布出来免费开源给大家使用。某公司某站群最新版本存在文件上传漏洞，攻击者可利用该漏洞获取服务器控制权限。适合用在什么…

 TideSec 2022-11-11 17:16:24

10,406 0 0

记一次某CMS代码审计

作者：ddwGeGe本文转自先知社区：https://xz.aliyun.com/t/11774前言无意中浏览到某小众OA官网且可以下载到源码，随机审计一波，最后成功Getshell，大佬勿喷目录结构…

 合天网安实验室 2022-11-08 14:37:58

9,993 0 0

代码审计之路之白盒挖掘机 | 技术精选0143

本文约4000字，阅读约需9分钟。Java审计其实和Php审计的思路一样，唯一不同的可能是复杂的框架和代码。1.正向跟踪从数据层查找变量，一级一级调用，最后到控制器，这种相对简单、快速。2.逆向思维，…

 酒仙桥六号部队 2022-10-27 14:40:10

10,544 0 0

Java代码审计之ofcms | 技术精选0140

本文约2000字，阅读约需5分钟。话不多说，直接开始今天的代码审计。1环境搭建Github地址如下："https://github.com/yuzhaoyang001/ofcms"…

 酒仙桥六号部队 2022-08-12 15:29:12

13,785 0 2

代码审计之逃不过的命运

噩耗传来就这样被你征服，喝下你藏好的毒。。。。真的是爆头【抱头】唱征服。亡羊补牢反手就做个更新。漏洞复现• 后台增加可执行的语句。• 创建非管理组的用户• 换浏览器登录选择小明账户登录，此时注意，添加…

 TideSec 2022-08-03 15:10:18

13,519 0 1

代码安全 两种代码漏洞

没有什么能消除所有的错误，在编写的代码中也是如此。平均而言，所有代码都有错误。其中一些错误影响较小，有些会导致意外提前终止，少数会导致资源消耗失控。一些错误会导致安全漏洞，让用户做一些意想不到的事情，…

 中科天齐软件安全 2022-07-06 14:55:18

16,738 0 1

实战 | .NET高级代码审计反序列化Gadget之ExpandedWrapper

0x01 背景ExpandedWrapper在XmlSerializer反序列化过程发挥了至关重要的作用，完美的扩展了两个泛型类且它的公开的属性可以存储投影结果，正是由于提供了这么多强大的功能才被反序…

 HACK_Learn 2022-06-27 16:15:52

16,112 0 1

从代码审查视角看软件质量

理论基础软件质量是软件与明确地叙述的功能和性能需求、文档中明确描述的开发标准以及任何专业开发的软件产品都应该具有的隐含特性相一致的程度。作为软件开发人员怎样保证所研发的软件产品是一个高性能、无缺陷的的…

 小道安全 2022-04-26 17:04:56

18,467 0 4

使用错误的运算符进行字符串比较缺陷漏洞

一、什么是使用错误的运算符进行字符串比较缺陷?比较字符串时，使用了错误的运算符，例如当应使用equals()方法代替时，使用“==”。二、使用错误的运算符进行字符串比较缺陷的构成条件有哪些?使用“==…

 中科天齐软件安全 2022-03-30 12:20:32

18,558 0 1

表达式永假/永真缺陷缺陷漏洞

一、什么是表达式永假/永真缺陷?如果布尔表达式不改变程序逻辑，则完全没有必要，并且可以将其删除。如果执行逻辑与程序员的意图不匹配，这就是一个错误，布尔表达式应该被修复。二、表达式永假/永真缺陷的构成条…

 中科天齐软件安全 2022-03-29 17:42:19

18,304 0 1

代码缺陷解读：通用异常捕获声明缺陷漏洞

一、什么是通用异常捕获声明缺陷?捕获过于广泛的异常会导致复杂的错误处理代码，该代码更可能包含安全漏洞。二、通用异常捕获声明缺陷构成条件有哪些?的变量。捕捉异常似乎是处理多个可能异常的有效方法。不幸的是…

 中科天齐软件安全 2022-03-28 16:10:29

18,929 0 0

代码缺陷解读：使用过时方法缺陷漏洞

一、什么是使用过时方法缺陷?代码使用了不推荐使用的或已经过时的方法，这表明该代码没有得到积极地审查或维护。随着编程语言的发展，由于以下原因，方法有时会过时：1、语言进步2、更深入理解如何安全有效地执行…

 中科天齐软件安全 2022-03-25 14:30:17

19,138 0 1

可达的assertion漏洞会造成哪些后果?

本文主要为了助力企业有效防范软件安全漏洞，提升网络安全防护能力，本期主题为第五十期：可达的assertion的相关介绍。01 什么是可达的assertion?程序包含一个可以被攻击者触发的assert…

 中科天齐软件安全 2022-03-24 17:35:41

19,102 0 0