swallow代码审计

代码审计-Java项目&Filter过滤器&CNVD分析&XSS跨站&框架安全

文章目录Demo-Filter-过滤器引用Demo-ST2框架-组件安全CNVD-Jeesns-XSS跨站绕过CNVD-悟空CRM-Fastjson组件Demo-Filter-过滤器引用Filter:Javaweb三大组件之一(另外两个是Servlet、Listener)概念:Web中的过滤器,当访问服务器的资源时,过滤器可以将请求拦截下来,完成一些通用的功能(登陆验证、统一编码处理、敏感字符过滤
今天是 几 号·2023-07-17 07:45

网络安全(黑客)学习路线

(1)基础部分编辑(1.1)计算机网络:(1.2)Linux系统及命令:(1.3)Web框架:(1.4)数据库:(2)Web安全(2.1)Web渗透(2.2)工具学习(2.2)自动化渗透(2.3)代码审计
中国红客99代传人·2023-07-17 06:50

PHP代码审计(一)之PHP代码审计的意义

PHP代码审计的意义什么是代码审计什么是代码审计
千负·2023-07-16 16:24

漏洞复现-CVE-2023-33246 Apache RocketMQ RCE漏洞原理与复现

目录漏洞原理漏洞描述影响范围ApacheRocketMQ学习文档学习代码审计漏洞复现docker环境搭建exp代码总结参考漏洞原理漏洞描述ForRocketMQversions5.1.0andbelow
lady_killer9·2023-07-16 14:33

攻防世界-WEB2

代码审计首先进行代码审计首先定义一个encode函数,接受一个str变量将接收的变量利用strrev函数进行字符串反转,并赋值给$_o接着使用一个for循环,接着,遍历$_o中的每个字符。
陈艺秋·2023-07-16 03:48

easyphp

说起来是easy但是,代码审计对于我来说有点小难唯一觉得好的地方是因为基本上每一步都有回显,可以依照回显一步步注入6000000&&strlen($a)2022){if(is_array(@$c["n"
陈艺秋·2023-07-16 03:18

Web_php_include

代码审计进入环境,根据题目的提示,本题考察文件包含漏洞源码中利用GET请求hello和page两个变量的值hello的参数会被直接打印输出page参数会被赋值并利用strstr函数进行php://字符串匹配
陈艺秋·2023-07-16 03:17

浅谈PHP无回显命令执行的利用

1、审计代码审计代码,根据代码逻辑判断(这个就需要扎实的审计代码能力的功底了)2、利用延时ip=|sleep5如果执行后延时5秒,就证明
CanMeng·2023-07-14 09:20

fileinclude

看题目提示,应该是一道文件包含的题目,打开环境后直接告诉我flag在flag.php里但是因为不知道绝对路径,不能直接利用file读取查看源码后,发现里面嵌入了一段php代码代码审计首先,通过if(!
陈艺秋·2023-07-14 09:34

【安全】Xsslabs(1~13)基于白盒测试浅析

level1level2level3level4level5level6level7level8扩展level9level10level11level12level13总结环境PHP:php7.3.4nts中间件:Nginx1.15.11工具:Hackbar关卡level1代码审计
OoGalxy·2023-07-14 03:44

网络安全(黑客)学习路线

(1)基础部分编辑(1.1)计算机网络:(1.2)Linux系统及命令:(1.3)Web框架:(1.4)数据库:(2)Web安全(2.1)Web渗透(2.2)工具学习(2.2)自动化渗透(2.3)代码审计
网安白菜菜·2023-07-13 15:19

[网鼎杯 2020 白虎组]PicDown

知识点文件读取文件描述符python代码审计反弹shellWP总的来说还是一道比较简单的题目,有毒的地方就是那个url,我卡在那个url上面了,我真的以为这是一个SSRF,没想过去试试直接文件读取,没想到真的这样
bfengj·2023-06-23 11:41

2022年广西壮族自治区第二届职业技能大赛“网络安全项目”比赛任务书

2本地安全策略配置A-3流量完整性保护A-4事件监控A-5服务加固BB-1Windows操作系统渗透测试240分钟350分B-2Linux操作系统渗透测试B-3信息取证分析B-4网络安全事件响应B-5代码审计
旺仔Sec·2023-06-22 02:05

渗透测试流程

注入跨站脚本攻击XSSCSRF跨站请求伪造SSRF服务器端请求伪造文件上传文件解析XXE即xml外部实体注入漏洞XSS和CSRF的区别CSRF和SSRF的区别CSRF和XSS和XXE区别中间件漏洞PHP代码审计容易出问题的点
冰峰zoubf·2023-06-21 10:44

代码审计系统 Swallow 开发回顾

做甲方安全建设,SDL是一个离不开的话题,其中就包含代码审计工作,我从最开始使用编辑器自带的查找,到使用fortify工具,再到后来又觉得fortify的扫描太慢影响审计效率,再后来就想着把fortify
·2023-06-21 02:30

一个基于SpringBoot开发的RBAC系统,非常适合新手入门JavaWeb代码审计实战的系统,长文警告,要好好学习。

欢迎大家搜索我的微信公众号:闪石星曜CyberSecurity本文是【炼石计划@Java代码审计】内部圈子原创课程,现分享给大家学习。如需转载,请详细注明来源。
Power7089·2023-06-20 18:34

【Java代码审计】XSS漏洞产生原理及其修复

XSS漏洞代码审计前言XSS漏洞原理1、反射型XSS反射型XSS漏洞审计2、存储型XSS存储型XSS审计漏洞修复前言笔者已经很长时间没有写过笔记力,经过一年的摸爬滚打也算是走到了代码审计这一关,这些日子也还在为项目和
webfker from 0 to 1·2023-06-20 12:41

代码审计——XSS详解

为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓01漏洞描述02审计要点03漏洞特征04漏洞案例05修复方案01漏洞描述跨站脚本攻击(CrossSiteScript)是一种将恶意JavaScript代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用应用程序的动态展示数据功能,在html页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在html中的恶意代码会被执行,用户浏览器被攻击
Vista、·2023-06-20 12:40

代码审计精品课程|python之SSTI漏洞介绍

SSTI模板注入Python类类(class)是Python中的一种基本的程序组织结构。它们允许定义一种新的数据类型,称为对象(object),并为该类型定义行为(即方法)。Python中的类由关键字class定义。类包含一个类名称和类定义,类定义中包含属性和方法的声明。属性是类中的变量,方法是类中的函数。类中的方法可以访问类的属性,并且还可以在调用它们时访问该类的其他方法。以下是一个简单的Pyt
sangfor_edu·2023-06-19 22:34

一款小程序安全评估工具

unveilr介绍unveilr是一款小程序安全评估工具,支持小程序的代码审计和发现敏感信息泄露、接口未授权等安全问题安装方法使用node>12环境自行构建参数详解子命令默认为wx工具下载地址一款小程序安全评估工具
HACK之道·2023-06-19 10:10

代码审计-Java项目&JDBC&Mybatis&Hibernate&注入&预编译&写法

文章目录Javaweb-数据库操作-模式&写法&预编译等环境搭建JDBC注入分析关于预编译Mybatis注入分析Hibernate注入分析总结:Javaweb-代码审计SQL注入-INXEDU在线网校Javaweb
今天是 几 号·2023-06-19 08:31

DVWA------SQL Injection (Blind)(SQL盲注)

目录一、SQL盲注1.简介2.分类3.盲注测试思路二、SQLInjection(Blind)1.LOW1.1代码审计1.2漏洞利用2.medium3.high4.Impossible一、SQL盲注1.简介
小孔吃不胖·2023-06-19 06:35

C语言代码安全审计的实战应用和价值探究

很久没在思否社区发布博客了,最近一段时间安全代码审计做的比较多,因此在社区谈谈看法。
·2023-06-19 03:13

PHP代码审计系列基础文章(一)之SQL注入漏洞篇

1.SQL注入原理SQL注入就是攻击者通过把恶意的SQL语句插入到Web表单的输入页面中,且插入的恶意语句会导致原有的SQL语句发生改变,从而达到攻击者的目的去让它执行一些危险的数据操作,进一步欺骗服务器去执行一些非本意的操作。简单来讲,所有可以涉及到数据库增删改查的系统功能点都有可能存在SQL注入漏洞。一个简单的攻击原理举例:在SQL注入中,我们更应该关注的是业务逻辑,例如业务中可能设计到的增删
FreeBuf_·2023-06-19 03:32

bugku No one knows regex better than me

进入环境是一串php代码,代码审计,考的是正则
白塔河冲浪手·2023-06-18 12:57

代码审计——SSRF详解

为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓01漏洞描述02审计要点03漏洞特征04漏洞案例05修复方案01漏洞描述服务端请求伪造攻击(SSRF)也成为跨站点端口攻击,是由于一些应用在向第三方主机请求资源时提供了URL并通过传递的URL来获取资源引起的,当这种功能没有对协议、网络可信便捷做好限制时,攻击者可利用这种缺陷来获取内网敏感数据、DOS内网服务器、读文件甚至于可获取内网服务器控制权限
Vista、·2023-06-17 20:12

C语言代码安全审计的实战应用和价值探究

很久没在思否社区发布博客了,最近一段时间安全代码审计做的比较多,因此在社区谈谈看法。
·2023-06-17 19:37

代码审计——命令执行详解

为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓01漏洞描述02审计要点03漏洞特征04漏洞案例05修复方案01漏洞描述命令注入是指因为系统使用了可以执行命令的危险函数,但是调用这些函数的参数可控,并没有做过滤或过滤不严格,使攻击者可以通过构造特殊命令字符串的方式将数据提交至Web应用程序中,并利用该方式执行外部程序或系统命令实施攻击,来非法获取数据或者网络资源。简单来说,就是系统使用可执行命令
Vista、·2023-06-17 12:51

代码审计——垂直越权详解

为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓01漏洞描述02审计要点03漏洞特征04漏洞案例05修复方案01漏洞描述垂直越权,也称权限提升,是一种“基于URL的访问控制”设计缺陷引起的漏洞。由于Web应用程序没有做权限控制或者仅在菜单上做了权限控制,导致的恶意用户只要猜测其他管理页面的URL,就可以访问或控制其他角色拥有的数据或页面,达到权限提升目的。02审计要点垂直越权漏洞发生的根本原因是
Vista、·2023-06-17 10:20

【网络安全】深入解析 PHP 代码审计技术与实战

为了确保这个网站的安全性,需要进行代码审计,这是一项专门针对软件代码进行检查和分析的技术。在本文中,我们将深入探讨代码审计的重要性和如何进行有效的代码审计
不是程序媛ya·2023-06-17 09:12

代码审计——未授权访问详解

为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓01漏洞描述02审计要点03漏洞特征04漏洞案例05修复方案01漏洞描述未授权访问漏洞,是在攻击者没有获取到登录权限或未授权的情况下,或者不需要输入密码,即可通过直接输入网站控制台主页面地址,或者不允许查看的链接便可进行访问,同时进行操作。简单来说,就是用户不经过身份认证即可访问敏感资源,可能造成敏感信息泄露,或者其他恶意操作。02审计要点未授权访
Vista、·2023-06-17 09:08

软件安全-课后练习-格式化字符串-fmtstr2-随笔

一、准备工作题目-百度网盘1.2.代码审计只要输入不是yes或者no,就会调用到存在格式化字符串漏洞的printf函数如果authenticated的值为1195526213(十六进制:0x47424845
irontys·2023-06-16 06:19

代码审计-9 代码审计之正则表达式

反斜杠绕过正则进行命令执行当我们输入两个反斜杠的时候第二个反斜杠会被转义,会输出一个反斜杠php中正则表达式,要对反斜杠过滤时需要添加四个反斜杠下面的代码中,有两个反斜杠,第一个反斜杠对第二个反斜杠进行转义后留下一个反斜杠,这个反斜杠接着对|进行转义,也就是说后面的|无效了也就不会对\n进行过滤也就是说下面的正则代码并不会对我们输入的\和\n进行匹配过滤结合linux环境特性,我们可通过命令中间添
深白色耳机·2023-06-15 08:31

进攻即是最好的防御!19个练习黑客技术的在线网站

这里罗列了19个合法的来练习黑客技术的网站,不管你是一名开发人员、安全工程师、代码审计师、渗透测试人员,通过不断的练习才能让你成为一个优秀安全研究人员。以下网站希望能给各位安全小伙伴带来帮助!
IT界颜值巅峰彭于晏·2023-06-14 23:00

PHP核心配置

代码在不同环境下执行结果会有不同,不同的版本会指令的变更,所以代码审计前要很熟悉各个版本配置文件的核心指令,官方配置说明地址:http://www.php.net/manual/zh/ini.list.phpPHP_INI
Echocipher·2023-06-14 13:07

CentOS Docker环境部署sonarqube

CentOSDocker环境部署开源代码审计和分析平台sonarqubesonarqube优势:代码质量和代码安全扫描分析平台通过持续的代码质量和代码安全性增强您的工作流程多维度分析代码:代码量、安全隐患
-一脸懵逼-·2023-06-13 21:52

零基础自学网络安全? 我怕你到时候连工作都找不到...

目录写在开篇2023年渗透测试工程师需要掌握如下技能第一部分:安全基础第二部分:Web安全第三部分:渗透实战第四部分:企业安全体系建设第五部分:后渗透第六部分:代码审计第七部分:二进制安全第八部分:协议漏洞第九部分
·2023-06-13 16:11

网络安全学术顶会——S&P 2023 议题清单、摘要与总结(上)

涉及到匿名认证、隐私保护机器学习等机器学习安全,主要研究对抗样本和隐蔽后门等问题浏览器和网络安全,涉及指纹识别、端到端加密、网站选择标志等嵌入式系统安全,主要针对IOT安全操作系统和软件安全,滥用漏洞检测和代码审计等混合加密和安全多方计算区块链安全
riusksk·2023-06-12 01:15

一次ctf文件上传php代码审计

朋友发的一个ctf题,做了好久才做出来,记录一下。0x01源码0x02代码初步分析由于服务使用了php版本为5.6.40,且容器为Apache,所以00截断用不了,其他的解析漏洞也用不上。对上传文件的Content-Type做了白名单限制,限制为图片类型,由于没有对文件内容进行校验,所以只需要把shell写到一个文本文件再重命名为jpg就行。对文件后缀进行了白名单限制,限制只能为jpg、png、g
flashine·2023-06-11 11:58

文件操作之文件下载(32)

我们称为文件包含漏洞显示文件的源代码,我们称为文件读取漏洞提示文件下载,我们称为文件下载漏洞#文件下载文件下载出现的原因,在任意代码里面出现下载性的功能性函数所导致的,检测的话也是分为白盒和黑盒两种,白盒就代码审计
上线之叁·2023-06-11 09:50

DVWA——Brute Force

(1)Low等级漏洞原理:直接使用原始的sql语句进行查询,没做代码审计代码审计:检
qq_58553228·2023-06-10 21:44

i春秋 Misc Web 爆破-1

打开链接是PHP源码代码审计:include"flag.php";表示文件中包含flag.php文件,即根目录下存在flag.php$a=@$_REQUEST['hello'];命名一个变量a来接收超全局变量
kali-Myon·2023-06-10 04:07

网络安全怎么学?学习路线资料分享

测试,细分下来,又有渗透(也就是所谓的web),逆向(也就是所谓的二进制,主要是代码审计方面的内容),pwn,安卓/ios攻防,黑/灰产研究等,集大成者为APT攻防。
网络安全-生·2023-06-09 22:22

2023届【校招】安全面试题和岗位总结(字节、百度、腾讯、美团等大厂)

写在前面个人强烈感觉面试因人而异,对于简历上有具体项目经历的同学,个人感觉面试官会着重让你介绍自己的项目,包括但不限于介绍一次真实攻防/渗透/挖洞/CTF/代码审计的经历=>因此对于自己的项目,面试前建议做一次复盘
黑客Zion·2023-06-09 20:47

2019-03-12

老杨的swallow餐馆,脆皮德式大肘子是主打,牛排,肉肠,和带着啤酒味的烤鸡,都蛮适合硬菜爱好者的口味。特别提一下,花生米是酒的绝配。
果子陆·2023-06-09 19:27

基础入门-ChatGPT&结合安全&融入技术&高效赋能&拓展需求

文章目录Chatgpt科普利用:安全开发逆向免杀代码审计蓝队应急APT社工学其他相关:Chatgpt科普ChatGPT是什么?
今天是 几 号·2023-06-09 10:32

[极客大挑战 2019]PHP1

可以先用御剑扫一下啥都没扫出来,但是上回做文件备份的题目时收集了一些关于常用备份文件的文件名和后缀,可以直接使用burp抓包爆破,果然爆破出一个www.zip文件访问下载好文件就有三个php文件,下面进行代码审计访问
陈艺秋·2023-06-09 05:27

[HCTF 2018]WarmUp1

拿到题目后是一个滑稽的图像,通过开发者工具查看源码获得提示访问指定页面后得到一串PHP代码,接下来尝试做代码审计"source.php","hint"=>"hint.php"];if(!
陈艺秋·2023-06-09 05:26

2023面试题合集(建议收藏)

写在前面个人强烈感觉面试因人而异,对于简历上有具体项目经历的同学,个人感觉面试官会着重让你介绍自己的项目,包括但不限于介绍一次真实攻防/渗透/挖洞/CTF/代码审计的经历=>因此对于自己的项目,面试前建议做一次复盘
白帽小婀·2023-06-08 23:32

网络安全面试大全,2023最新(建议收藏)

写在前面个人强烈感觉面试因人而异,对于简历上有具体项目经历的同学,个人感觉面试官会着重让你介绍自己的项目,包括但不限于介绍一次真实攻防/渗透/挖洞/CTF/代码审计的经历=>因此对于自己的项目,面试前建议做一次复盘
白帽小婀·2023-06-08 23:01
上一页 10 11 12 13 14 15 16 17 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他