代码审计 | 安全脉搏

标签：代码审计

代码审计

PHP代码审计-某cms逻辑漏洞导致getshell

以下文章来源于亿人安全，作者N1eC文章首发在：奇安信攻防社区https://forum.butian.net/share/2142前言如果存在exec进行拼接的漏洞，该如何绕过 &am…

合天网安实验室 10天前

5,656 0 0
脉搏文库

靶场攻略 | php反序列化靶机实战

本文作者：eth10（贝塔安全实验室-核心成员）0x01：靶机下载地址https://www.vulnhub.com/entry/serial-1,349/，如何搭建靶机，请自行百度！0x02：存活扫…

贝塔安全实验室 2023-02-17 17:32:51

4,290 0 0
代码审计

记一次简单的XSS漏洞审计

文章来源 |MS08067 Java代码审计5期作业本文作者：zoom7 1、全局搜索XSS Filter 未发现对XSS进行过滤2、登录后发现XSS功能点3、测试4、抓包查看路由…

Ms08067安全实验室 2023-01-05 16:26:04

13,420 0 0
代码审计

红队-java代码审计生命周期

红队-java代码审计生命周期@深信服-华南天玄攻防战队-KBAT前言红队java代码审计生命周期中常见的一些漏洞学习总结以及一些审计思路。红队-java代码审计生命周期过程源码获取->审计环境…

KB-AT 2022-12-20 11:31:26

11,117 0 3
移动安全

记一次微信小程序渗透实战记录

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与…

潇湘信安 2022-12-15 16:19:09

7,827 0 1
内网渗透

实战渗透之一个破站日一天

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与…

潇湘信安 2022-11-21 11:52:48

9,523 0 1
代码审计

记一次某CMS代码审计

作者：ddwGeGe本文转自先知社区：https://xz.aliyun.com/t/11774前言无意中浏览到某小众OA官网且可以下载到源码，随机审计一波，最后成功Getshell，大佬勿喷目录结构…

合天网安实验室 2022-11-08 14:37:58

12,302 0 0
代码审计

代码审计之路之白盒挖掘机 | 技术精选0143

本文约4000字，阅读约需9分钟。Java审计其实和Php审计的思路一样，唯一不同的可能是复杂的框架和代码。1.正向跟踪从数据层查找变量，一级一级调用，最后到控制器，这种相对简单、快速。2.逆向思维，…

酒仙桥六号部队 2022-10-27 14:40:10

12,879 0 0
代码审计

Java代码审计之ofcms | 技术精选0140

本文约2000字，阅读约需5分钟。话不多说，直接开始今天的代码审计。1环境搭建Github地址如下："https://github.com/yuzhaoyang001/ofcms"…

酒仙桥六号部队 2022-08-12 15:29:12

15,896 0 2
代码审计

代码审计之逃不过的命运

噩耗传来就这样被你征服，喝下你藏好的毒。。。。真的是爆头【抱头】唱征服。亡羊补牢反手就做个更新。漏洞复现• 后台增加可执行的语句。• 创建非管理组的用户• 换浏览器登录选择小明账户登录，此时注意，添加…

TideSec 2022-08-03 15:10:18

15,578 0 1
漏洞

Flask send_file函数导致的绝对路径遍历

平时接触到的 python 项目并不多，对 python 的代码审计更是没有接触，偶然朋友发来了一个漏洞 Flask send_file函数导致的绝对路径遍历，感觉打开了新世界的大门，于是就以一个初…

合天网安实验室 2022-07-19 15:10:20

6,192 0 1
安全招聘

来和安识一起工作|安识科技诚聘安全人才

公司简介：上海安识网络科技有限公司(简称:安识科技)，一家创新型网络安全提供商，成立于2016年，专注于云安全建设和运营，致力于给客户带来安全价值，是企业值得托付的信息安全伙伴。旗下业务品牌包括：专业…

安识科技 2022-07-12 14:08:15

23,919 1 60
代码审计

实战 | .NET高级代码审计反序列化Gadget之ExpandedWrapper

0x01 背景ExpandedWrapper在XmlSerializer反序列化过程发挥了至关重要的作用，完美的扩展了两个泛型类且它的公开的属性可以存储投影结果，正是由于提供了这么多强大的功能才被反序…

HACK_Learn 2022-06-27 16:15:52

18,120 0 1
脉搏文库

从网络发包到图形化开发 | 技术精选0135

本文约2600字，阅读约需8分钟。一个月前，SpringRce漏洞火了，很快出现了py的poc。那时的我，还在用bp抓包，发包，然后error。一个学代码审计的野人，路过图形化开发，从而一发不可收拾。…

酒仙桥六号部队 2022-06-13 16:33:36

4,934 0 0
Web安全

记一次某内容管理平台最最最详细的代码审计

点击蓝字关注我们前言刚好遇到一个授权的渗透是通过该cms实现getshell，所以顺便审计一下java类的cms，这个管理系统是一个内容管理系统，下载地址https://gitee.com/oufu/…

合天网安实验室 2022-05-30 19:07:06

9,721 0 0

专栏作者

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge！——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会（Gdevops2020）

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31（周五线上）

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼

友情链接

关注我们

SecPluse

合作伙伴

品牌归属

关于我们

安全脉搏（secpulse.com）是以互联网安全为核心的学习、交流、分享平台，集媒体、培训、招聘、社群为一体，全方位服务互联网安全相关的管理，研发和运维人，平台聚集了众多安全从业者及安全爱好者，他们在这里分享知识、招聘人才，与你一起成长。

©2013- 安全脉搏沪ICP备16016474号

沪公网安备 31010402005682号