静态代码检测工具Wukong对log4J中的漏洞检测、分析及漏洞修复

一、简介最近的Log4J漏洞(CVE-2021-44228)正造成网络大乱，其影响力不亚于早期的HeartBleeding漏洞。2.0-beta9 ~2.14.1版本的Apache Log4j2均存在…

 中科天齐软件安全 2021-12-15 15:35:56

6,026 1 0

通过某大学生的的毕业设计复习java-sql审计

  sql注入原理:业务端代码从客户端接收到恶意payload之后没有进行过滤直接进行sql语句拼接并且执行造成sql注入本人正在拜读一本代码审计的书感觉非常的棒，刚刚好室友在挑战…

 合天网安实验室 2021-12-01 18:09:53

6,059 0 0

记一次在梦中对某oa系统的漏洞挖掘

0X01正文打开网站……先用7kb扫一波目录。哦吼，发现了一堆的目录遍历(绿色的都是)这里一个 Log目录十分的显眼，很有可能造成log泄露。okey，如我所料收获了一个通用中危洞 √27450-kw…

 火线安全平台 2021-11-12 10:20:07

9,564 0 0

部分sql注入总结

前言本人ctf选手一名，在最近做练习时遇到了一些sql注入的题目，但是sql注入一直是我的弱项之一，所以写一篇总结记录一下最近学到的一些sql注入漏洞的利用。可回显注入联合注入在可以联合查询的题目中，…

 合天网安实验室 2021-08-23 12:03:21

7,115 0 4

反序列化漏洞利用总结

反序列化无论在CTF比赛中，抑或是实战渗透中都起着重要作用，而这一直都是我的弱项之一，所以写一篇反序列化利用总结来深入学习一下<!-- more -->简单介绍（反）序列化只是给我们传递对…

 合天网安实验室 2021-07-30 14:06:28

4,599 0 0

浅谈代码静态检测中SQL注入的安全漏洞

SQL注入：SQL是操作数据库数据的结构化查询语言，网页的应用数据和后台数据库中的数据进行交互时会采用SQL。SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终…

 天齐软件测评中心 2021-06-18 17:13:45

5,295 0 2

某学院系统sql注入到服务器沦陷（bypss）

前言前一段时间都在挖edu src，为了混几个证书，中间陆陆续续也挖到好几枚系统的通杀吧，不过资产都不多，都是黑盒测试出来的，没啥技术含量。只有这次挖到的这枚通杀稍微有那么一点点价值，从外网web一步…

 合天网安实验室 2021-06-17 11:05:29

5,758 0 1

从Web日志还原SQL注入拖走的数据

利用SQL注入漏洞拖库，从而导致数据泄漏。一般的排查方式，我们可以使用关键字进行搜索，找到可疑的url尝试进行漏洞复现，通过Web访问日志来还原攻击路径，从而确定问题的根源。但是，有一个问题却一直困扰…

 Bypass007 2021-04-07 14:53:12

5,414 0 5

Lower-SQL至系统沦陷

声明：本文仅限于技术讨论与分享，严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负，与本号及原作者无关。在一次edusrc挖掘中，发现了一个系统，对于学校来讲算是及其重要的一个系统，其中部署…

 合天网安实验室 2021-04-07 9:59:18

6,642 0 1