0X05【代码审计】

Hasura GraphQL Engine 远程命令执行漏洞复现 [附POC]

文章目录HasuraGraphQLEngine远程命令执行漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现0x06修复建议
gaynell·2023-12-16 12:14

Secnet安网 智能AC管理系统 actpt_5g接口敏感信息泄露复现 [附POC]

文章目录Secnet安网智能AC管理系统actpt_5g接口敏感信息泄露复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现
gaynell·2023-12-16 12:44

华为 Auth-HTTP Server 1.0 任意文件读取漏洞复现 [附POC]

文章目录华为Auth-HTTPServer1.0任意文件读取漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现0x06
gaynell·2023-12-16 12:05

代码审计的未来趋势

代码审计的未来发展趋势,如人工智能、区块链、云计算等代码审计是一项非常重要的工作,可以帮助团队发现潜在的安全漏洞和缺陷。随着技术的不断发展,代码审计也在不断地发展和改进。
Kali与编程~·2023-12-16 05:18

代码审计中的实战案例

代码审计的实战案例分析,如E-commerce、CMS、ERP等代码审计是发现软件系统中存在的安全漏洞的一种方法。
Kali与编程~·2023-12-16 05:17

代码审计的最佳实践

代码审计的最佳实践方法,如团队合作、知识分享、持续学习等代码审计是一项非常关键的工作,可以帮助团队发现潜在的安全漏洞和缺陷。
Kali与编程~·2023-12-16 05:17

代码审计在软件安全中的重要性和意义

代码审计是由具备丰富编码经验的并对安全编码原则有深刻的理解的安全服务人员,对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
程序元成哥·2023-12-16 05:43

代码安全审计浅析

随着软件规模的日益增大,代码数量由几万行,发展到现在经常出现几十万行,甚至几百万行代码的规模,系统的逻辑结构越来越复杂,只靠人工基本上无法满足代码审计的对于时效和成本等各方面的要求。代码安
manok·2023-12-16 05:09

网络安全审计之CMS代码审计

0x00:环境说明Windows10PhpstubyPhp版本:7.2.9CMS版本:MetInfo7.5.00x01:目录结构|--about|--about1|--admin|--app|--cache|--case|--config|--download|--favicon.ico|--feedback|--hits|--img|--include|--index.php|--install
kali_Ma·2023-12-16 05:39

代码审计中的安全测试方法

安全测试的定义和分类代码审计是一种针对软件代码的安全测试方法,目的是发现并修复软件中的安全漏洞。安全测试是指对软件系统进行安全性评估的过程,包括静态分析、动态测试、黑盒测试等多种方法。
Kali与编程~·2023-12-16 04:05

命令执行 [BUUCTF 2018]Online Tool1

打开题目我们代码审计一下if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){$_SERVER['REMOTE_ADDR']=$_SERVER['HTTP_X_FORWARDED_FOR
访白鹿·2023-12-16 03:31

给鼠标描述符打上注释防止忘记

staticuint8_tg_mouse_hid_desc[]={//通用桌面设备0x05,0x01,//USAGE_PAGE(GenericDesktop)//鼠标设备0x09,0x02,//USAGE
莫邪博客·2023-12-16 00:55

第三届陕西省大学生网络安全技能大赛部分WriteUp

排名战队名称:第27名解题思路WEBEzRCE通过代码审计得知,本题为文件包含漏洞,不过本题的黑名单似乎起不到作用依然可以使用黑名单中的字符串**Pa
Geek极安网络安全·2023-12-15 17:31

53 代码审计-TP5框架及无框架变量覆盖反序列化

目录演示案例:Metinfo-无框架-变量覆盖-自动审计或搜索phpmyadmin-无框架-反序列化-自动审计或搜索Thinkphp5-有框架-搭建使用入口访问调试SQL等演示案例:Metinfo-无框架-变量覆盖-自动审计或搜索变量覆盖会直接覆盖原始变量,来形成新的变量值搜索关键字或者自动审计,自动审计能帮助我们对程序快捷的进行漏洞分析,这些是简单报告,具体有没有漏洞是有待查询的,他是建立一下代
山兔1·2023-12-14 23:16

代码审计中的常见漏洞【二】

预计更新一、代码审计简介代码审计的定义、作用和流程代码审计的分类和方法论二、代码审计的准备工作代码审计前需要了解的基础知识和技能代码审计的工具和环境准备三、代码审计中的常见漏洞SQL注入漏洞XSS漏洞CSRF
Kali与编程~·2023-12-14 15:16

代码审计的技术细节

预计更新一、代码审计简介代码审计的定义、作用和流程代码审计的分类和方法论二、代码审计的准备工作代码审计前需要了解的基础知识和技能代码审计的工具和环境准备三、代码审计中的常见漏洞SQL注入漏洞XSS漏洞CSRF
Kali与编程~·2023-12-14 15:16

代码审计中的常见漏洞【一】

预计更新一、代码审计简介代码审计的定义、作用和流程代码审计的分类和方法论二、代码审计的准备工作代码审计前需要了解的基础知识和技能代码审计的工具和环境准备三、代码审计中的常见漏洞SQL注入漏洞XSS漏洞CSRF
Kali与编程~·2023-12-14 15:46

CVE-2023-3710:Honeywell Products远程命令执行漏洞复现 [附POC]

文章目录HoneywellProducts远程命令执行(CVE-2023-3710)漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造
gaynell·2023-12-06 17:37

金山终端安全系统V9.0 update_software_info_v2.php处SQL注入漏洞复现 [附POC]

文章目录金山终端安全系统V9.0update_software_info_v2.php处SQL注入漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境
gaynell·2023-12-06 17:37

安网AC智能路由系统actpt_5g.data敏感信息泄露漏洞复现 [附POC]

文章目录安网AC智能路由系统actpt_5g.data敏感信息泄露漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现安网
gaynell·2023-12-06 16:58

用友U8 Cloud RegisterServlet SQL注入漏洞复现

0x03影响范围所有版本0x04复现环境FOFA:app="用友-U8-Cloud"0x05漏洞复现PoCPO
OidBoy_G·2023-12-06 13:29

代码分析体系及Sonarqube平台

代码分析IDE辅助功能:xcode、androidstudio独立的静态分析工具:findbugs、androidlint、scan-build、pmd、阿里巴巴java开发规范pmd插件代码审计关注的质量指标
霍格沃兹测试开发·2023-12-06 12:30

[网鼎杯 2020 朱雀组]phpweb1

提示call_user_func()函数先通过php内置函数来进行代码审计绕过system(##不止一种方法)拿到题目养成一个好的习惯先抓个包从抓到的包以及它首页的报错来看,这里死活会post传输两个参数
怪兽不会rap_哥哥我会crash·2023-12-05 13:08

定向网络攻击主要风险检查表

应用系统上线前是否进行源代码审计£是£否定期开展渗透测试,上线前进行代码审计,针对发现的漏洞要全面
打码人的日常分享·2023-12-04 02:06

CVE-2023-25573:MeterSphere 任意文件下载漏洞复现[附POC]

文章目录MeterSphere任意文件下载(CVE-2023-25573)漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3
gaynell·2023-12-03 22:31

29.CSRF及SSRF漏洞案例讲解

跨站请求伪造攻击CSRF漏洞解释,原理导图原理详解CSRF漏洞检测,案例,防御防御方案2.SSRF(服务器端请求伪造)1、解释:2、危害:0x01可能出现的地方0x02漏洞验证0x03利用方式0x04绕过小技巧0x05
明月清风~~·2023-12-03 21:20

华天OA任意文件上传漏洞 复现

文章目录华天OA任意文件上传漏洞复现0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现0x06修复建议华天OA任意文件上传漏洞复现0x01
gaynell·2023-12-03 15:08

交易所安全测试--安全配置

0x05安全配置一、概述服务端是一种专门为某一客户端设立的,具有针对性的程序,通常都只具备认证与传输数据功能。
零时科技·2023-12-03 04:35

捷诚管理信息系统CWSFinanceCommon.asmx SQL注入漏洞复现 [附POC]

文章目录捷诚管理信息系统CWSFinanceCommon.asmxSQL注入漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3
gaynell·2023-12-02 19:26

科荣 AIO 管理系统文件读取漏洞复现 [附POC]

文章目录科荣AIO管理系统文件读取漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现科荣AIO管理系统文件读取漏洞复现
gaynell·2023-12-02 19:56

金蝶Apusic应用服务器deployApp接口任意文件上传漏洞复现 [附POC]

文章目录金蝶Apusic应用服务器deployApp接口任意文件上传漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现
gaynell·2023-12-02 19:56

DPtech SSL VPN Service任意文件读取漏洞复现 [附POC]

文章目录DPtechSSLVPNService任意文件读取漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现DPtechSSLVPNService
gaynell·2023-12-02 19:24

代码审计利器-RIPS实践

除了发现漏洞的结构化输出外,RIPS还提供了一个集成的代码审计框架。目前最新版本为0.55作为审计工具,自然需要有源码供其审计,这里以dvwa为
Elwood Ying·2023-12-01 04:21

VNCTF 2023 - Web 象棋王子|电子木鱼|BabyGo Writeups

象棋王子签到题,jsfuck解密丢到console得到flag电子木鱼后面两道都是代码审计,这题是rust,题目给出了源码,下载下来看关键代码:由于限制,quantity只能为正数功德也只能是正数(负数的话无法执行到这里
Sugobet·2023-11-30 22:03

[VNCTF 2023] web刷题记录

文章目录象棋王子电子木鱼BabyGo象棋王子考点:前端js代码审计直接查看js源码,搜一下alert丢到控制台即可电子木鱼考点:整数溢出main.rs我们分段分析首先这段代码是一个基于Rust的web应用程序中的路由处理函数
_rev1ve·2023-11-30 22:27

记一次代码审计中RCE挖掘及POC编写

文章转自先知社区:https://xz.aliyun.com/t/13008作者:雨下整夜声明:本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。从危险的模板引入开始在前面熟悉代码的过程中,可以注意到此CMS的模板引入方式。以catalog_add.php文件为例,直接采用了include来将htm文件包含,而不是将php文件处理的数据放入
蚁景网络安全·2023-11-30 19:17

万户协同办公平台ezoffice未授权访问漏洞

文章目录0x01前言0x02漏洞描述0x03影响范围0x04漏洞环境0x05漏洞复现1.构造POC2.进行MD5值解密3.尝试进行登录0x06复现建议0x01前言本次测试仅供学习使用,如若非法他用,与本文作者无关
gaynell·2023-11-30 18:01

再战beach靶场之web考核作业一

欢迎大家一起来Hacking水友攻防实验室学习,渗透测试,代码审计,免杀逆向,实战分享,靶场靶机,求关注之前做过,这次boss改了这个靶场,有的步骤确实有些恶心心了,这次注重分析重点部分的技术原理,对于技术实现可能会弱化一些
热热的雨夜·2023-11-30 18:09

2022-渗透测试-代码审计-PHP常用函数

1.isset()函数用于检测变量是否已设置并且非NULL。2.extract()函数从数组中将函数导入当前列表,将数组的键当作变量名,数组的值当作对应变量的值。3.file_get_contents()函数把整个文件读入一个字符串中。4.eval()函数把字符串按照php代码计算5.assert()函数判断一个表达式是否成立,返回trueorfalse。6.preg_replace()函数执行一
保持微笑-泽·2023-11-29 23:16

逻辑漏洞 暴力破解(DVWA靶场)与验证码安全 (pikachu靶场) 全网最详解包含代码审计

逻辑漏洞暴力破解(DVWA靶场)与验证码安全(pikachu靶场)全网最详解包含代码审计0x01前言在当今互联网的广袤世界中,各式交互平台层出不穷。
diaobusi-puls·2023-11-29 16:51

易宝OA系统ExecuteSqlForSingle接口SQL注入漏洞复现 [附POC]

文章目录易宝OA系统ExecuteSqlForSingle接口SQL注入漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.
gaynell·2023-11-29 07:21

【高级渗透篇】网络安全面试

【高级渗透篇】网络安全面试1.权限维持2.提权MySQL提权3.Java内存马4.代码安全Java代码审计PHP代码审计1.权限维持Linux权限维持方法论Windows权限维持方法论2.提权MySQL
世界尽头与你·2023-11-29 04:32

pikachu靶场:php反序列化漏洞

pikachu靶场:php反序列化漏洞文章目录pikachu靶场:php反序列化漏洞代码审计漏洞利用代码审计像这种反序列化的代码基本都是代码审计出的//定义一个名为S的类,该类有一个属性$test和一个构造函数
抠脚大汉在网络·2023-11-28 17:00

sqli-labs靶场详解less-24(二次注入)

less-24对于一个像我一样的小白来说这关就像php代码审计一开始进行判断注入点的时候怎么都找不到一点思路都没有只能搜教程说是二次注入从来没遇见的题型于是从代码审计开始先说一下什么叫二次注入二次注入二次注入是指通过
网安小t·2023-11-28 14:39

“百越杯”第四届福建省高校网络空间安全大赛线下比赛总结

Finecms一开始进后台改密码,然后做一些安全策略,后进行代码审计,过滤敏感字符
T1ger_R·2023-11-28 01:05

50代码审计-PHP无框架项目SQL注入挖掘

完整源码框架->验证并利用漏洞2.教学内容:---PHP,JAVA网站应用,引入框架类开发源码,相关审计工具及插件使用3.必备知识点:---环境安装搭建使用,相关工具插件安装使用,掌握前期各种漏洞原理及利用代码审计
上线之叁·2023-11-27 21:19

51代码审计-PHP框架MVC类上传断点调试

知识点1,文件上传漏洞挖掘搜索关键字$_FILESphpmvc架构MVC模式(Model-View-Controller)是软件工程中的一种软件架构模式。MVC把软件系统分为三个基本部分:模型(Model)、视图(View)和控制器(Controller)。各个功能,模型:管理大部分的业务逻辑和所有的数据库逻辑,提供链接和操作数据库的抽象层。控制器:负责响应用户的请求,准备数据,以及决定如何展示数
上线之叁·2023-11-27 21:19

【Web】Ctfshow Thinkphp3.2.3代码审计(1)

目录①web569②web570③web571④web572①web569基础考察/index.php/Admin/Login/ctfshowLogin②web570提示找路由查看附件源码(config.php)发现定义了一个可执行命令的路由规则/index.php/ctfshow/assert/eval($_POST[1])1=system('tac/f*');③web571提示控制器查看源码(
Z3r4y·2023-11-26 12:06

10、信息打点——APP&小程序篇&抓包封包&XP框架&反编译&资产提取

资产安全测试抓包(Fiddle&茶杯&burp)封包(封包监听工具),提取资源信息资产收集——资源提取——ICO、MAD、hash——FOFA等网络测绘进行资产搜集外在——功能逻辑内在——反编译——JAVA代码——代码审计内在
PT_silver·2023-11-25 23:13

BUUCTF—[MRCTF2020]Ez_bypass1

题目链接:BUUCTF在线评测一、知识点1.PHP代码审计2.MD5碰撞(强碰撞,"===")3.PHP类型比较二、解题过程1.代码审计,打开题目链接后页面显示如下涉及的函数功能:$符号是PHP语言中用来表示变量的标识符整形变量
热爱可抵岁月漫长_·2023-11-25 22:37
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他