WECHAT二维码闪退分析

作者：hu1y40（洞源实验室，安全工程师） 一、 事件背景腾讯旗下的微信是一款社交通讯应用程序，由中国互联网巨头腾讯公司开发和运营。作为一款领先的社交应用，微信在全球范围内拥有大…

 洞源实验室 24天前

6,320 0 2

java代码审计

0x01代码审计的基本概念和流程1、代码审计的定义和背景Java代码审计是指对Java应用程序代码的分析，以确定是否存在安全漏洞和风险，并提出修复建议的过程。Java应用程序的开发在近年来已经成为了一…

 TideSec 2023-04-24 16:20:16

8,074 0 0

PHP代码审计-某cms逻辑漏洞导致getshell

以下文章来源于亿人安全 ，作者N1eC文章首发在：奇安信攻防社区https://forum.butian.net/share/2142前言 如果存在exec进行拼接的漏洞，该如何绕过 &am…

 合天网安实验室 2023-03-20 13:52:29

9,573 0 0

记一次简单的XSS漏洞审计

文章来源 |MS08067 Java代码审计5期作业本文作者：zoom7 1、全局搜索XSS Filter 未发现对XSS进行过滤2、登录后发现XSS功能点3、测试4、抓包查看路由…

 Ms08067安全实验室 2023-01-05 16:26:04

16,289 0 0

红队-java代码审计生命周期

红队-java代码审计生命周期@深信服-华南天玄攻防战队-KBAT前言红队java代码审计生命周期中常见的一些漏洞学习总结以及一些审计思路。红队-java代码审计生命周期过程源码获取->审计环境…

 KB-AT 2022-12-20 11:31:26

14,000 0 3

SUPER站群命令执行之官方审核

简介某站群原来是我们内部自己开发使用的一套程序，后来看到很多人有相似的需求，团队决定发布出来免费开源给大家使用。某公司某站群最新版本存在文件上传漏洞，攻击者可利用该漏洞获取服务器控制权限。适合用在什么…

 TideSec 2022-11-11 17:16:24

15,408 0 0

记一次某CMS代码审计

作者：ddwGeGe本文转自先知社区：https://xz.aliyun.com/t/11774前言无意中浏览到某小众OA官网且可以下载到源码，随机审计一波，最后成功Getshell，大佬勿喷目录结构…

 合天网安实验室 2022-11-08 14:37:58

15,098 0 0

代码审计之路之白盒挖掘机 | 技术精选0143

本文约4000字，阅读约需9分钟。Java审计其实和Php审计的思路一样，唯一不同的可能是复杂的框架和代码。1.正向跟踪从数据层查找变量，一级一级调用，最后到控制器，这种相对简单、快速。2.逆向思维，…

 酒仙桥六号部队 2022-10-27 14:40:10

15,647 0 0

Java代码审计之ofcms | 技术精选0140

本文约2000字，阅读约需5分钟。话不多说，直接开始今天的代码审计。1环境搭建Github地址如下："https://github.com/yuzhaoyang001/ofcms"…

 酒仙桥六号部队 2022-08-12 15:29:12

18,668 0 2

代码审计之逃不过的命运

噩耗传来就这样被你征服，喝下你藏好的毒。。。。真的是爆头【抱头】唱征服。亡羊补牢反手就做个更新。漏洞复现• 后台增加可执行的语句。• 创建非管理组的用户• 换浏览器登录选择小明账户登录，此时注意，添加…

 TideSec 2022-08-03 15:10:18

18,266 0 1

代码安全 两种代码漏洞

没有什么能消除所有的错误，在编写的代码中也是如此。平均而言，所有代码都有错误。其中一些错误影响较小，有些会导致意外提前终止，少数会导致资源消耗失控。一些错误会导致安全漏洞，让用户做一些意想不到的事情，…

 中科天齐软件安全 2022-07-06 14:55:18

22,046 0 1

实战 | .NET高级代码审计反序列化Gadget之ExpandedWrapper

0x01 背景ExpandedWrapper在XmlSerializer反序列化过程发挥了至关重要的作用，完美的扩展了两个泛型类且它的公开的属性可以存储投影结果，正是由于提供了这么多强大的功能才被反序…

 HACK_Learn 2022-06-27 16:15:52

20,798 0 1

从代码审查视角看软件质量

理论基础软件质量是软件与明确地叙述的功能和性能需求、文档中明确描述的开发标准以及任何专业开发的软件产品都应该具有的隐含特性相一致的程度。作为软件开发人员怎样保证所研发的软件产品是一个高性能、无缺陷的的…

 小道安全 2022-04-26 17:04:56

23,242 0 4

使用错误的运算符进行字符串比较缺陷漏洞

一、什么是使用错误的运算符进行字符串比较缺陷?比较字符串时，使用了错误的运算符，例如当应使用equals()方法代替时，使用“==”。二、使用错误的运算符进行字符串比较缺陷的构成条件有哪些?使用“==…

 中科天齐软件安全 2022-03-30 12:20:32

23,224 0 1

表达式永假/永真缺陷缺陷漏洞

一、什么是表达式永假/永真缺陷?如果布尔表达式不改变程序逻辑，则完全没有必要，并且可以将其删除。如果执行逻辑与程序员的意图不匹配，这就是一个错误，布尔表达式应该被修复。二、表达式永假/永真缺陷的构成条…

 中科天齐软件安全 2022-03-29 17:42:19

22,966 0 1