———代码审计系列

Java代码审计之RCE(远程命令执行)

Java代码审计系列课程(点我哦)漏洞原理:RCE漏洞,可让攻击者直接向后台服务器远程注入操做系统命令或者代码,从而控制后台系统。
mingzhi61·2024-02-06 17:13

Java代码审计系列之 JNDI注入

0x01前言在Java反序列化漏洞挖掘或利用的时候经常会遇到RMI、JNDI、JRMP这些概念,其中RMI是一个基于序列化的Java远程方法调用机制。作为一个常见的反序列化入口,它和反序列化漏洞有着千丝万缕的联系。除了直接攻击RMI服务接口外(比如:CVE-2017-3241),我们在构造反序列化漏洞利用时也可以结合RMI方便的实现远程代码执行。我们在之前的课程中说到过动态类的加载,而jndi注入
风炫安全·2023-12-30 00:55

Java代码审计系列第二课 案例Apache Commons Collections反序列化漏洞讲解

Java代码审计系列第二课案例ApacheCommonsCollections反序列化漏洞讲解简述ApacheCommonsCollections是ApacheCommons的组件,它们是从JavaAPI
风炫安全·2023-10-27 11:30

java代码审计_从零开始java代码审计系列(四)

最近打算审一审web项目,毕竟复现一些java的经典漏洞和审计javaweb还是有些区别的,这次审计的项目地址:https://gitee.com/oufu/ofcms审计时可以IDEA可以装上FindBugs还是有一些帮助的。后台任意文件上传漏洞路径/ofcms/ofcms-admin/src/main/java/com/ofsoft/cms/admin/controller/cms/Templ
书香拌饭·2023-10-25 05:32

JAVA代码审计与安全编码

java代码审计系列视频课程概述本文重点介绍JAVA安全编码与代码审计基础知识,会以漏洞及安全编码示例的方式介绍JAVA代码中常见Web漏洞的形成及相应的修复方案,同时对一些常见的漏洞函数进行例举。
mingzhi61·2023-10-25 05:58

PHP代码审计系列基础文章(一)之SQL注入漏洞篇

1.SQL注入原理SQL注入就是攻击者通过把恶意的SQL语句插入到Web表单的输入页面中,且插入的恶意语句会导致原有的SQL语句发生改变,从而达到攻击者的目的去让它执行一些危险的数据操作,进一步欺骗服务器去执行一些非本意的操作。简单来讲,所有可以涉及到数据库增删改查的系统功能点都有可能存在SQL注入漏洞。一个简单的攻击原理举例:在SQL注入中,我们更应该关注的是业务逻辑,例如业务中可能设计到的增删
FreeBuf_·2023-06-19 03:32

php代码审计系列教程,Virink主讲的PHP代码审计实战视频课程

1.1、检查数据是否可用接口开发检查数据是否可用作为注册功能的辅助。1.1.1、功能分析请求的url:/user/check/{param}/{type}参数:从url中取参数响应的数据:json数据。TaotaoResult,封装的数据校验的结果为true:表示成功,数据可用,false:失败,数据不可用。业务逻辑:1.1.2、Dao1.1.3、Service先在taotao-sso-inter
君小竹·2022-12-17 18:23

代码审计系列篇一之代码审计学习思路

学习代码审计要熟悉三种技术,分四部分走一:编程语言1:前端语言html/javascript/dom元素使用主要是为了挖掘xss漏洞jquery主要写一些涉及到CSRF脚本使用的或者DOM型XSS,JSON劫持等2:后端语言基础语法要知道例如变量类型,常量,数组(python是列表,元组,字典),对象,类的调用,引用等,MVC设计模式要清楚,因为大部分目标程序都是基于MVC写的,包括不限于php,
热爱、学习·2022-12-17 18:53

php代码审计系列教程,PHP代码审计工具——Rips详细使用教程

一、代码审计工具介绍代码审计工具可以辅助我们进行白盒测试,大大提高漏洞分析和代码挖掘的效率。在源代码的静态安全审计中,使用自动化工具辅助人工漏洞挖掘,一款好的代码审计软件,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。代码审计工具按照编程语言、审计原理、运行环境可以有多种分类。商业性的审计软件一般都支持多种编程语言,比如VCG、FortifySCA,缺点就
阿卜罗·2022-12-17 18:22

暗月php代码审计系列教程,暗月PHP代码审计教程

replyreload+=\’,\’+93193;这是一部关于PHP代码审计的课程,学习挖掘漏洞,适合有一定PHP基础的WEB安全爱好者学习。PHP基础学习教程推荐:传智播客PHP培训39期基础班+就业班课程目录:第一节:PHP审计环境、审计工具、审计平台介绍与安装第二节:代码审计中常用代码调试函数与注释第三节:代码审计涉及到的超全局变量第四节:代码审计命令注入第五节:PHP代码审计代码执行注入第
啊哒小吴13777670590·2022-12-17 18:22

暗月php代码审计系列教程,0day漏洞挖掘之暗月PHP代码审计_IT教程网

第01节-PHP审计环境、审计工具、审计平台介绍与安装第02节-代码审计中常用代码调试函数与注释第03节-代码审计涉及到的超全局变量第04节-代码审计命令注入第05节-代码执行注入第06节-XSS反射型漏洞第07节-XSS存储型漏洞第08节-本地包含与远程包含第09节-SQL注入第10节-CSRF跨站请求伪造第11节-动态函数执行与匿名函数执行第12节-unserialize反序列化漏洞第13节-
温卡龙·2022-12-17 18:52

PHP代码审计系列(一) 基础:方法、思路、流程

技术交流关注微信公众号Z20安全团队,回复加群,拉你入群一起讨论技术。直接公众号文章复制过来的,排版可能有点乱,可以去公众号看。工具Fotify|代码审计静态扫描工具,商业化静态代码扫描工具,误报率相对较低。seay|源代码审计工具PHPStorm|是PHP编程语言开发的集成环境。chrome&burp&HackerBar插件&xdebug插件Xcheck|Xcheck是一个由腾讯公司CSIG质量
st3pby·2022-12-17 18:22

php代码审计系列教程,Virink主讲的PHP代码审计实战视频课程 PHP代码安全检测教程 共15课...

C:\wwwroot\xuebawang.net\public\index.php(0.76KB)C:\wwwroot\xuebawang.net\thinkphp\start.php(0.74KB)C:\wwwroot\xuebawang.net\thinkphp\base.php(2.66KB)C:\wwwroot\xuebawang.net\thinkphp\library\think\Lo
一悦·2022-12-17 18:22

PHP代码审计系列(二)

PHP代码审计系列(二)本系列将收集多个PHP代码安全审计项目从易到难,并加入个人详细的源码解读。此系列将进行持续更新。strcmp比较字符串源码如下0;如果两者相等,返回0。
tpaer·2022-12-17 18:51

PHP代码审计系列(三)

PHP代码审计系列(三)本系列将收集多个PHP代码安全审计项目从易到难,并加入个人详细的源码解读。此系列将进行持续更新。
tpaer·2022-12-17 18:51

PHP代码审计系列(一)

PHP代码审计系列(一)本系列将收集多个PHP代码安全审计项目从易到难,并加入个人详细的源码解读。此系列将进行持续更新。
tpaer·2022-12-17 18:20

PHP代码审计系列(四)

PHP代码审计系列(四)本系列将收集多个PHP代码安全审计项目从易到难,并加入个人详细的源码解读。此系列将进行持续更新。
tpaer·2022-12-17 18:50

JavaWeb的三层架构及MVC模式

Java代码审计系列课程java三层架构:数据访问层、业务逻辑层、表现层业务层-----一般不变的,主要是一些算法逻辑,用了策略模式,用了反射技术使得它的变化相对稳定。
mingzhi61·2022-10-22 14:06

CTF命令执行及绕过技巧

今天开启php代码审计系列!今天内容主要是CTF中命令注入及绕过的一些技巧!以及构成RCE的一些情景!正文在详细介绍命令注入之前,有一点需要注意:命令注入与远程代码执行不同。
·2021-04-21 11:56

从零开始java代码审计系列(一)

这是第一篇关于代码审计的文章,我目前正在看《PHP代码审计》,书里面写的不错。以后会陆续把我看完之后有意思的知识点或者感受共享给大家。从php代码审计到java代码审计还是有很大不同的,语言特性,漏洞产生的点等等,很多人都是php入门,同样我也是,但是说实话,java也是必须要掌握的,这里我选择分析一些经典的漏洞来熟悉java的代码审计,如果有理解错误的地方,希望得到师傅们的斧正。ApacheCo
thj_blog·2020-07-13 14:59

代码审计系列篇一之代码审计学习思路

学习代码审计要熟悉三种技术,分四部分走一:编程语言1:前端语言html/javascript/dom元素使用主要是为了挖掘xss漏洞jquery主要写一些涉及到CSRF脚本使用的或者DOM型XSS,JSON劫持等2:后端语言基础语法要知道例如变量类型,常量,数组(python是列表,元组,字典),对象,类的调用,引用等,MVC设计模式要清楚,因为大部分目标程序都是基于MVC写的,包括不限于php,
张悠悠66·2020-06-30 00:19

CTF命令执行及绕过技巧

今天开启php代码审计系列!今天内容主要是CTF中命令注入及绕过的一些技巧!以及构成RCE的一些情景!
JBlock·2019-03-07 16:21

代码审计系列第一节

主要给大家介绍几款,代码审计常用到的工具,来进行辅助分析和代码挖掘。首先我们介绍的是第一款。我们采用的是window集成环境,对于php集成环境,大家可以自行选择,我这里演示只给大家演示wamp。网上有很多这样的集成环境,google一下就出来很多,比较简单,就不给大家一一演示了。直接进入我们课题。①rips-静态代码审计上面有一个path,只要把你电脑代码相对应的路径放到里面,即可进行检测。比较
qq_29277155·2016-06-18 16:00
上一页 1 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他