E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
swallow代码审计
【网络安全】漏洞挖掘:php
代码审计
未经许可,不得转载。文章目录正文正文在应用程序中,通过一个JavaScript注释发现了一个备份ZIP文件。解压后,获取了应用程序的代码,其中包含如下代码片段:代码首先检查变量$action是否等于'convert',如果是,则继续执行。随后对传入的变量$data使用trim()函数去除两端空白字符,并使用eval()函数执行$data的内容。显然,代码对$data没有进行任何过滤或验证,因此可以
秋说
·
2024-09-15 05:45
网络安全
php
web安全
漏洞挖掘
【网络安全 |
代码审计
】JFinal之DenyAccessJsp绕过
文章目录前言
代码审计
推理绕过Tomcat解析JSP总结概念验证阐发前言JFinal是一个基于Java的轻量级MVC框架,用于快速构建Web应用程序。
秋说
·
2024-09-15 05:13
网络安全
web安全
java
代码审计
漏洞挖掘
如何识别和防范跨站脚本攻击(XSS)?
代码审计
:定期进行
代码审计
,查找可能的安全漏洞,特别是在处理用户输
盼盼盼
·
2024-09-11 18:11
xss
安全
网络
Java
代码审计
篇:SQL注入
一、常见SQL注入1、sql语句动态拼接示例代码:Stringid=request.getParameter("id");res=st.executeQuery("SELECT*FROM\"IWEBSEC\".\"user\"WHERE\"id\"="+id);while(res.next()){intp=res.getInt("id");Stringn=res.getString("userna
zkzq
·
2024-09-09 21:16
数据库
【网络安全 | CTF】攻防世界 Web_php_unserialize 解题详析
文章目录
代码审计
解题思路wakeup绕过preg_match绕过base64绕过GET传参方法二
代码审计
这段代码首先定义了一个名为Demo的类,包含了一个私有变量$file和三个魔术方法__construct
秋说
·
2024-09-08 12:29
CTF
CTF
网络安全
web安全
[极客大挑战 2020]Greatphp1
知识点:1.PHP原生类在CTF中的利用2.以及的变形3.正则表达式的取反绕过进入页面又是熟悉的php的
代码审计
.syc!
安红豆.
·
2024-09-03 15:10
android
web安全
php
网络
文章上传漏洞绕过方式(以php语言为例)
因此在上传位置,代码会对上传文件进行检查,但不免会有漏洞,通过
代码审计
,可以得出网页漏洞。二,文件上传漏洞绕过方式前端验证绕过前端认证最容易绕过,我们将验证代码部份删除,或者将js函数返回值设为1
HMX404
·
2024-08-31 12:19
web安全
web
安全漏洞
国内网站安全测试6大步骤
·白盒测试完全了解,
代码审计
.·灰盒测试了解一部分东西.4.思路和细节名词解释漏洞POC验证漏洞存在的代码片段exploit利用(渗透攻击)exp(利用一个漏洞完整的程序)提权权限提升获取当
红酒味蛋糕_
·
2024-08-30 00:47
网络安全
代码审计
:Bluecms v1.6
代码审计
:Bluecmsv1.6漏洞列表如下(共计36个漏洞,附Exp,按时间顺序):未完待续…1、user.php766行处存在任意文件删除漏洞Exp:``http://127.0.0.3/bluecms
GKDf1sh
·
2024-08-29 17:35
安全
web安全
代码复审
智能合约审计工具(一)——cloc界定审计的代码数量,审计难度。cloc,solidity metrics 使用的入门,细节与解答
为什么要界定源代码数量
代码审计
是一种评估软件代码质量、安全性和合规性的过程。
zhuqiyua
·
2024-08-28 08:21
区块链一些
智能合约
python docker 镜像过大_【转】六种减小Docker镜像大小的方法
转自P牛,vulnhub作者,擅长
代码审计
和漏洞挖掘,今天看到他的公众号发了一篇这个,正好平时自己的工作也有需求,整理记录如下。
weixin_39627408
·
2024-03-17 17:55
python
docker
镜像过大
文件上传漏洞--Upload-labs--Pass10--双写绕过
二、双写绕过原理1、首先进行
代码审计
,源代码中有黑名单和str_ireplace()函数的联合使用,将黑名单中的敏感后缀名全部都进行了删除。这就会使我们上传的test.php上传后变成test.
给我杯冰美式
·
2024-02-19 12:50
Web安全--文件上传漏洞
web安全
文件上传漏洞
文件上传漏洞--Upload-labs--Pass09(在某些版本的靶场里是Pass10)--点+空格+点 绕过
二、
代码审计
1、查看题目源代码上半部分,题目采取黑名单,并且对Pass05-Pass07的题目中所出现的漏洞进行了有效修复,意味着我们不再能够使用点绕过/空格绕过/大小写绕过了。
给我杯冰美式
·
2024-02-19 12:20
Web安全--文件上传漏洞
文件上传漏洞
web安全
文件上传漏洞--Upload-labs--Pass07--点绕过
二、通关思路1、首先进行
代码审计
,发现网页源代码中缺少对点的处理,即deldot()函数,可以进行点绕过。2、上传test.php文
给我杯冰美式
·
2024-02-19 12:44
Web安全--文件上传漏洞
文件上传漏洞
web安全
【web | CTF】BUUCTF [网鼎杯 2020 青龙组]AreUSerialz
既不能本地复现,也不能求证靶场环境天命:本地php是复现不了反序列化漏洞的,都不知道是版本问题还是其他问题天命:这题也是有点奇怪的,明明用字符串2也应该是可以,但偏偏就不行,神奇了进来题目先看到php
代码审计
星盾网安
·
2024-02-19 10:59
CTF
php
[NSSCTF]-Web:[SWPUCTF 2021 新生赛]jicao解析
代码审计
:include("flag.php"):包含flag.php文件,但是我们实际直接打开出不来flagjson_decode():将json字符串解析转化为php变量$id=$_POST['id
Clxhzg
·
2024-02-14 02:34
Web
前端
android
网络安全
安全
[NSSCTF]-Web:[SWPUCTF 2021 新生赛]easyrce解析
先看网页
代码审计
:error_reporting(0);:关闭报错,代码的错误将不会显示highlight_file(__FILE__);:将当前文件的源代码显示出来eval($_GET['url'])
Clxhzg
·
2024-02-14 02:33
Web
前端
安全
网络安全
渗透测试练习题解析 3(CTF web)
查看检查信息,发现存在两个参数func和p查看页面源代码payload:func=file_get_contents&p=php://filter/resource=index.php整理后,就是PHP
代码审计
了
安全不再安全
·
2024-02-13 09:55
CTF
web
前端
安全
网络安全
web安全
2022 UUCTF Web
>闭合`rce`)(3)ez_unser(引用传递)(4)ez_upload(apache后缀解析漏洞)(5)ezsql(union注入)(6)funmd5(
代码审计
%0a绕过preg_replace)
葫芦娃42
·
2024-02-11 14:13
比赛wp
php
web安全
<网络安全>《25 工业脆弱性扫描与管理系统》
1概念工业脆弱性扫描与管理系统以综合的漏洞规则库(本地漏洞库、ActiveX库、网页木马库、网站
代码审计
规则库等)为基础,采用深度主机服务探测、Web智能化爬虫、SQL注入状态检测、主机配置检查以及弱口令检查等方式相结合的技术
Ealser
·
2024-02-11 07:03
#
网络安全
web安全
安全
工业脆弱性扫描与管理系统
AWD-Test2
1.已知账号密码,可SSH连接进行
代码审计
。2.登录可万能密码进入,也可注册后登录。3.修改url参数,发现报错。确定为Linux系统4.写入一句话,并提交。
有搞头-CC
·
2024-02-11 07:46
BUUCTF
web安全
安全
安全性测试
前端
sql
【
代码审计
-1】PHP无框架项目SQL注入
代码审计
教学计划:审计项目漏洞Demo->审计思路->完整源码框架->验证并利用漏洞教学内容:PHP,JAVA网站应用,引入框架类开发源码,相关审计工具及插件使用必备知识点:环境安装搭建使用,相关工具插件安装使用
阿福超级胖
·
2024-02-10 02:20
小迪安全笔记
web安全
【
代码审计
-2】PHP框架MVC类文件上传断点测试挖掘
1.文件上传漏洞挖掘:(1)关键字搜索(函数、键字、全局变量等):比如$_FILES,move_uploades_file等(2)应该功能抓包:寻找任何可能存在上传的应用功能点,比如前台会员中心,后台新闻添加等。(3)漏洞举例:逻辑漏洞-先上传文件再判断后缀名,通过MIME类型来判断文件类型、前端校验文件类型而服务端未校验。2.MVC开发框架类:模型Model–管理大部分的业务逻辑和所有的数据库逻
阿福超级胖
·
2024-02-10 02:20
小迪安全笔记
php
mvc
开发语言
【
代码审计
-3】PHP项目RCE及文件包含下载删除
漏洞关键字SQL注入:selectinsertupdatemysql_querymysqli等文件上传:$_FILES,type="file",上传,move_upload_file()等XSS跨站:printprint_rechosprintfdievar_dumpvar_export等文件包含:Includeinclude_oncerequirerequire_once等代码执行:evalas
阿福超级胖
·
2024-02-10 02:20
小迪安全笔记
php
数据库
mysql
我的男朋友,是一个机器人
文/
swallow
编辑/小茵同学长期有偿征稿1我的男朋友是一个机器人。我也是。其实不能称他为“男朋友”,机器人性别没有之分。但他的生产日期比我早,我才这样叫他。
小茵同学
·
2024-02-08 23:58
C++服务器端开发(9):安全性考虑
及时修复漏洞和问题,并进行
代码审计
。认证和授权:服务器需要对用户进行认证和授权,以确保只有
Galaxy银河
·
2024-02-08 14:37
C++更多语法
计算机
/
人工智能
c++
开发语言
从多个基础CMS中学习
代码审计
概念什么是
代码审计
?
代码审计
是在一个编程中对源代码旨在发现错误、安全漏洞或违反编程约定的项目。说人话就是找它这些代码中可能存在问题的地方,然后看它是否真的存在漏洞。
网安Dokii
·
2024-02-08 13:09
学习
网络安全
IMF_1(VulbHub)_WriteUp
目录1、主机探测2、web渗透发现flag1发现flag2拼接imfadministrator目录收集用户名
代码审计
之弱类型绕过发现flag3进入IMFCMS漏扫测试尝试跑sqlmap发现异常数据发现flag4
沫风港
·
2024-02-08 09:45
综合渗透_靶场通关文档
网络安全
小白
代码审计
入门
最近小白一直在学习
代码审计
,对于我这个没有
代码审计
的菜鸟来说确实是一件无比艰难的事情。但是着恰恰应了一句老话:万事开头难。但是小白我会坚持下去。
墨痕诉清风
·
2024-02-07 12:48
WEB及系统安全知识
安全
web安全
42、WEB攻防——通用漏洞&文件包含&LFI&RFI&伪协议编码算法&
代码审计
文章目录文件包含文件包含原理攻击思路文件包含分类sessionPHP伪协议进行文件包含文件包含文件包含原理文件包含其实就是引用,相当于C语言中的include。文件包含漏洞常出现于php脚本中,当include($file)中的$file变量用户可控,就造成了文件包含漏洞。**注意被包含的文件中只要存在php代码,就可以被php解释器解析,不受文件后缀名的影响。**例如?file=1.txt,1.
PT_silver
·
2024-02-06 19:33
小迪安全
前端
算法
Java
代码审计
之RCE(远程命令执行)
Java
代码审计
系列课程(点我哦)漏洞原理:RCE漏洞,可让攻击者直接向后台服务器远程注入操做系统命令或者代码,从而控制后台系统。
mingzhi61
·
2024-02-06 17:13
java代码审计
开发语言
java代码审计
安全开发
代码审计
-CVE-2023-6654-PHPEMS-加密-解密分析
路由:入口方法:鉴权分析:由此可以得出鉴权是由session类负责获取参数后,由各个类的魔术方法负责:(在此还有一个方法全局搜索登录关键词)1、断点分析:寻找鉴权点分析(我在文章的操作相关目录下面的app.php类打断点因为此处打断点后只需要刷新就会进行鉴权)刷新后步进来到了session类里再次步入后来到ev类里该类是一些工具类如设置或者获取cookie等再次步入来到了今天的主角strings类
网安老伯
·
2024-02-06 10:49
web安全
linux
安全
网络安全
学习
代码规范
php
进攻即是最好的防御!19 个练习黑客技术的在线网站
这里罗列了19个合法的来练习黑客技术的网站,不管你是一名开发人员、安全工程师、
代码审计
师、渗透测试人员,通过不断的练习才能让你成为一个优秀安全研究人员。以下网站希望能给各位安全小伙伴带来帮助!
Python程序员小泉
·
2024-02-04 19:17
网络安全
程序员
安全
网络安全入门
渗透测试
黑客入门
程序员人生
PHP
代码审计
之任意文件读取
文章目录一、任意文件读取原理二、任意文件读取危害三、任意文件读取相关函数任意文件读取
代码审计
总结一、任意文件读取原理在一些文件下载以及浏览的工能点中,存在一些文件读取的函数,且参数中的文件名或者路径可以由于控制关键字符未能进行有效的过滤就会造成任意文件读取
order by
·
2024-02-04 12:17
PHP代码审计
php
安全
web安全
代码分析体系及Sonarqube平台
较多的公司使用IDE辅助功能:xcode、androidstudio独立的静态分析工具:findbugs、androidlint、scan-build、pmd、阿里巴巴java开发规范pmd插件image.png
代码审计
关注的质量指标代码坏味道
霍格沃兹测试开发学社
·
2024-02-02 19:55
网络信息安全攻防学习平台 注入关第九
据说哈希后的密码是不能产生注入的
代码审计
题,进入直接看F12在这里我们可以找到重点if($row!=null){echo"Flag:".
沙雕带你蒿羊毛
·
2024-02-02 02:50
【Git配置代理】Failed to connect to github.com port 443 问题解决方法
前言:在学习
代码审计
时,有时会需要使用git去拉取代码,然后就出现了如下错误看过网上很多解决方法,觉得问题的关键还是因为命令行在拉取/推送代码时并没有使用VPN进行代理。
Hello_Brian
·
2024-02-01 10:34
编程语言
github
41、WEB攻防——通用漏洞&XML&XXE&无回显&DTD实体&伪协议&
代码审计
文章目录XXE原理&探针&利用XXE读取文件XXE带外测试XXE实体引用XXE挖掘XXE修复参考资料:CTFXXEXXE原理&探针&利用XXE用到的重点知识是XML,XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE(XMLExternalEntityInjectio
PT_silver
·
2024-02-01 06:47
小迪安全
前端
xml
网络
bluecms
代码审计
一环境准备BlueCMSv1.6sp1phpstudyphp5.6.9+apache+mysql二环境搭建phpstudy+1.把下好的BlueCMS源码文件bluecms_src放到phpStudy的WWW目录下2.访问本地:http://localhost/bluecms_src/,能看到项目文件3.访问地址:http://localhost/bluecms_src/uploads/insta
木…
·
2024-02-01 02:50
学习
[BUUCTF]-Web:[GXYCTF2019]Ping Ping Ping解析
从这里我们可以看出打不开flag.php的原因
代码审计
:preg_match函数:一般形式是preg_match("/xxx
Clxhzg
·
2024-01-31 19:11
linux
网络
运维
网络安全
安全
40、WEB攻防——通用漏洞&CSRF&SSRF&
代码审计
&同源策略&加载函数
文章目录CSRFSSRF审计思路CSRF如何对CSRF进行测试?尝试添加管理员为例抓取添加管理员的用户名和密码的数据包,形成html文件,并放到公网服务器上。登录后台的状态下访问刚刚那个文件,CSRF攻击完成。CSRF绕过:针对来源检测,可以:(1)伪造referer,需要在html代码数据包文件中固定http-referer;(2)尝试在网站任何可上传地方,上传数据包文件,取得当前同域名访问地址
PT_silver
·
2024-01-31 06:46
小迪安全
前端
csrf
变量覆盖通过
代码审计
拿到webshell-doumi(超详细)
变量覆盖-doumi目录一.在系统配置中输入正则表达式\$\$,并命名为覆盖变量二.用$$进行全局搜索三.
代码审计
四.搜索common.php的意思五、全局搜索common.php六、
代码审计
login.php
爱喝水的泡泡
·
2024-01-30 02:29
android
网络安全
安全
运维
43 漏洞发现-WEB应用之漏洞探针类型利用修复
CMS演示案例:开发框架类源码渗透测试报告-资讯-thinkphp开发框架类源码渗透测试-咨讯-spring已知CMS非框架类渗透测试报告-工具脚本-wordpress已知CMS非框架类渗透测试报告-
代码审计
山兔1
·
2024-01-29 03:57
小迪安全
前端
<网络安全>《6 脆弱性扫描与管理系统》
根据漏洞规则库(本地漏洞库、ActiveX库、网页木马库、网站
代码审计
规则库等)为基础,采用深度主机服务探测、Web智能化爬虫、SQL注入状态检测、主机配置检查以及弱口令检查等方式相结合的技术,实现了将
Ealser
·
2024-01-28 20:58
#
网络安全
web安全
安全
网络安全
你知道吗?原来燕子南飞不是为了温暖的气候,而是因为这个……
白腹毛脚燕(Delichonurbicum)有尾长而分叉且胸偏红并具一道蓝色胸带的家燕(
swallow
),也有飞时两翼向后弯曲如镰刀的普通雨燕(comm
趣读书吧
·
2024-01-28 08:16
红队专题-
代码审计
-RCE-SSRF
代码审计
RCE远程命令/代码执行概述命令注入CommandInjectionRCE漏洞函数代码执行命令注入执行示例pbootcms存在RCE漏洞使远程服务器执行“whoami”的命令Java
代码审计
注入
amingMM
·
2024-01-28 05:07
java
Java
代码审计
:反序列化链CommonsCollections1详解
0x01漏洞介绍ApacheCommonsCollections是一个第三方的基础类库,提供了很多强有力的数据结构类型并且实现了各种集合工具类,可以说是apache开源项目的重要组件。CommonsCollection在java反序列化的源流中已经存在5年今天介绍的CommonsCollections1,反序列化的第一种RCE序列化链CommonsCollections1反序列化漏洞点仍然是com
god_Zeo
·
2024-01-28 05:34
代码审计
ThinkPHP5 RCE漏洞
代码审计
前言thinkphp下载漏洞影响版本:5.0.0app['hook']->listen('module_init');try{//实例化控制器$instance=$this->app->controller($this->controller,$this->rule->getConfig('url_controller_layer'),$this->rule->getConfig('control
Yn8rt
·
2024-01-27 14:56
thinkPHP
代码审计
cms
mvc
php
thinkphp
Java
代码审计
rce漏洞
RuntimeRuntime.exec("command")publicclassLocalRuntimeextendsHttpServlet{@OverrideprotectedvoiddoGet(HttpServletRequestreq,HttpServletResponseresp)throwsServletException,IOException{Stringcmd=req.getPa
诡墨佯
·
2024-01-27 14:26
Java安全
java
dvwa靶场文件上传high
dvwauploadhigh第一次尝试(查看是否是前端验证)第二次尝试我的上传思路最后发现是图片码上传修改配置文件尝试蚁连接菜刀连接第一次尝试(查看是否是前端验证)因为我是初学者,所以无法从
代码审计
角度分析
玖龍的意志
·
2024-01-27 12:29
笔记
上一页
1
2
3
4
5
6
7
8
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他