Xcheck之Node.js安全检查引擎

0x00 Node.js安全检查引擎Node.js作为常见的Web开发语言之一，Xcheck也针对该语言打造了对应的扫描引擎：JsCheck。同样基于污点传播模型，支持以下常见漏洞类型：目前JsChe…

 Xcheck 4天前

4,429 0 0

JumpServer日志读取漏洞自动化审计分析

0x00 JumpServer与漏洞介绍JumpServer是一个开源的堡垒机，server端使用python编写开发，开源地址在https://github.com/jumpserver/jumps…

 Xcheck 10天前

4,097 0 3

禅道开源版自动化安全审计

0x00 禅道简介ZenTaoPMS（ZenTao Project Management System），中文名为禅道项目管理软件。禅道项目管理软件基于自主研发的PHP开发框架——禅道PHP框架开发而…

 Xcheck 18天前

4,469 0 1

Xcheck之Python安全检查引擎

0x00 Python安全检查引擎Xcheck的Python分析引擎，能够自动分析Python写的Web应用，检测诸如命令注入、SQL注入、URL跳转、SSRF、XXE等常见的Web安全漏洞。Pyth…

 Xcheck 24天前

5,511 0 0

利用PHAR协议进行PHP反序列化攻击

PHAR (“Php ARchive”) 是PHP中的打包文件，相当于Java中的JAR文件，在php5.3或者更高的版本中默认开启。PHAR文件缺省状态是只读的，当我们要创建一个Phar文件需要修改…

 锦行科技 28天前

4,857 0 0

OpenRASP SQL注入绕过

OpenRASP介绍OpenRASP即应用运行时自我保护，“可直接注入到被保护应用的服务中提供函数级别的实时防护，可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞”——https:/…

 Xcheck 2021-06-23 11:03:58

6,024 0 0

ECShop最新4.1.0前台免登录SQL注入0day漏洞披露与分析

0x00 漏洞概述影响版本：ecshop4.1.0及以下是否需要身份认证：否，前台漏洞漏洞类型：SQL注入CNVD编号：CNVD-2020-58823，https://www.cnvd.org.cn/…

 Xcheck 2021-06-17 16:35:46

6,596 0 0

Xcheck之Java安全检查引擎

Java安全检查引擎Xcheck的java安全检查引擎支持Spring RequestMapping、JAX-RS、WebService和Java Servlet几种常用web接口的代码安全检查，目前…

 Xcheck 2021-06-11 10:49:50

4,609 0 0

静态代码分析工具清单

SAST，即静态应用程序安全测试，通过静态代码分析工具对源代码进行自动化检测，从而快速发现源代码中的安全缺陷。本文是一个静态源代码分析工具清单，收集了一些免费开源的项目，可从检测效率、支持的编程语言、…

 Bypass007 2021-06-08 15:35:44

6,157 0 0

MQTT安全初探

文 年华 | 图 lmn随着物联网的快速发展，当前在物联网中的常见的五种协议分别是：HTTP、CoAP、XMPP、AMQP、MQTT。但在这么多协议中，毫无疑问MQTT最具代表性,因为它占用带宽小、轻…

 物联网IOT安全 2021-06-04 17:17:47

4,236 0 0

IAST 工具初探

近年来，IAST作为一种新的应用安全测试技术，受到广泛的关注，慢慢出现了一些IAST开源项目，可以让更多的个人或者企业参与和体验。本文就目前网络中找到的几款IAST工具进行部署测试，记录一些使用过程和…

 Bypass007 2021-06-02 10:45:43

4,791 0 2

JVM分配大内存情况下FGC情况模拟实验

1、测试代码实例：使用线程池不断的创建对象import java.util.Scanner;import java.util.concurrent.ArrayBlockingQue…

 安全狗 2021-05-13 16:26:35

5,919 0 0

Xcheck之Golang安全检查引擎

Golang安全检查引擎Go语言近几年开始越来越流行，凭借其强大的性能和跨平台的优势，对web和后台开发都是一个不错的选择。Xcheck支持Golang的代码安全检查，覆盖常用web框架，包括gola…

 Xcheck 2021-05-10 16:01:17

4,668 0 0

John the Ripper使用指南，第6部分：如何破解非标准的哈希值（上）

如何破解基于MD5、SHA1和其他原始哈希算法的迭代、盐化和任意哈希值众所周知，John the Ripper和Hashcat能够破解使用各种密码哈算法生成的哈希值。其中，John the Rippe…

 mssp299 2021-04-26 16:21:55

6,252 1 1

一文入坑——爬虫

“网络爬虫”又称“网络蜘蛛”，是一种在互联网上自动采集数据的自动化程序。爬虫的规模可大可小，大到百度、谷歌搜索，小到文本采集、自动采集图片等。1获取目标地址下面介绍如何获取准备爬取内容的URL。以阿里…

 安全狗 2021-04-21 16:58:54

3,981 0 0