Java代码审计之ofcms | 技术精选0140

本文约2000字，阅读约需5分钟。话不多说，直接开始今天的代码审计。1环境搭建Github地址如下："https://github.com/yuzhaoyang001/ofcms"…

 酒仙桥六号部队 11小时前

3,179 0 0

某知名OA高版本getshell思路

0x01 前言通达OA作为国内最主流的三大OA之一，经常参攻防演练的小伙伴一定非常喜欢这套系统的漏洞。历史上通达OA报出过很多高危漏洞，也曾经被人吐槽安全水平不高。但是经过这么多年的沉淀，现在通达OA…

 hackctf 18天前

6,080 1 1

干货 | 记一次CVE申请之旅

0x01 前言前段时间跟着网上的教程申请了cve ，申请成功了记录一下申请过程,由于漏洞太过垃圾就不放编号了0x02 获取CVE编号https://cveform.mitre.org/选择R…

 HACK_Learn 24天前

4,666 0 1

浅析websocket劫持

最近学了一下websocket劫持，写个文章记录一下声明：本文仅限于技术讨论与分享，严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负，与本号及原作者无关。WebSocket劫持漏洞导读We…

 合天网安实验室 25天前

3,859 0 1

记一次失败的实战攻防

0x01前言某天早上接到领导通知，要对某个授权目标进行渗透测试，迫不及待的要来了目标，得知客户只给了一个单位名称。0x02 web打点拿到单位名称，目标资产收集走一波，各种互联网资产探测引擎进行搜索，…

 TideSec 2022-07-06 17:15:57

7,213 0 2

ellite sql注入

本地环境搭建：官网下载：http://www.elitecms.net/安装步骤：前台效果：后台效果：代码分析安装完以后，直接产看代码的文件，全局正则匹配select .*? where快速通读下代码…

 TideSec 2022-06-28 13:44:49

5,559 0 1

危险系数排名前5的注入攻击

什么是注入攻击?注入攻击针对注入漏洞——这是一种非常广泛的网络安全漏洞，其中包括一些严重的应用程序安全风险。在OWASP的2021年十大风险中，注入是web应用安全的第三大风险。尽管攻击载体种类繁多，…

 中科天齐软件安全 2022-06-10 16:01:02

6,607 0 1

记录又一次实战GetShell

严正声明截至发稿前，已将漏洞提交厂商并验证其已完成修复。本文仅限于技术讨论与分享，严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负，与本号及原作者无关。前言本文为记录实战过程中遇到的问题及…

 合天网安实验室 2022-04-19 16:36:39

7,409 0 3

Java代码审计之路 – 实战经验总结分享

文章来源｜MS08067 JAVA代码审计实战班 第2期本文作者：0r3xu（Java代码审计2班学员）

 Ms08067安全实验室 2022-02-11 18:42:19

12,424 0 1

静态代码检测工具Wukong对log4J中的漏洞检测、分析及漏洞修复

一、简介最近的Log4J漏洞(CVE-2021-44228)正造成网络大乱，其影响力不亚于早期的HeartBleeding漏洞。2.0-beta9 ~2.14.1版本的Apache Log4j2均存在…

 中科天齐软件安全 2021-12-15 15:35:56

7,132 1 0

通过某大学生的的毕业设计复习java-sql审计

  sql注入原理:业务端代码从客户端接收到恶意payload之后没有进行过滤直接进行sql语句拼接并且执行造成sql注入本人正在拜读一本代码审计的书感觉非常的棒，刚刚好室友在挑战…

 合天网安实验室 2021-12-01 18:09:53

7,432 0 0

记一次在梦中对某oa系统的漏洞挖掘

0X01正文打开网站……先用7kb扫一波目录。哦吼，发现了一堆的目录遍历(绿色的都是)这里一个 Log目录十分的显眼，很有可能造成log泄露。okey，如我所料收获了一个通用中危洞 √27450-kw…

 火线安全平台 2021-11-12 10:20:07

10,125 0 2

部分sql注入总结

前言本人ctf选手一名，在最近做练习时遇到了一些sql注入的题目，但是sql注入一直是我的弱项之一，所以写一篇总结记录一下最近学到的一些sql注入漏洞的利用。可回显注入联合注入在可以联合查询的题目中，…

 合天网安实验室 2021-08-23 12:03:21

8,175 0 5