swallow代码审计

buuctf_练[羊城杯2020]easyphp

代码审计,unlink清除文件。文件写入第三个参数的换行
生而逢时·2023-10-25 14:29

【原创】MybatisPlus调用原生SQL的三种方法

前言在有些情况下需要用到MybatisPlus查询原生SQL,MybatisPlus其实带有运行原生SQL的方法,我这里列举三种方法一这也是网上流传最广的方法,但是我个人认为这个方法并不优雅,且采用${}的方式代码审计可能会无法通过
DCTANT·2023-10-25 09:31

java代码审计----win10安装docker

开始看《java代码审计》第一先安装jdk多版本jdk共存安装dockerwin10安装dockerdocker官网下载desktop安装后,docker启动不起来,小鲸鱼图标也是红的搜索,说打开hyper
鲨鱼饿死了·2023-10-25 05:02

java代码审计1之基础知识

1.项目构建工具MavenMaven采用pom概念(projectobjectmodel)来管理项目。Pom.xml,用于管理源代码,配置文件开发者信息和角色,项目授权,项目的url,项目的依赖关系等。Dependencies和dependency用于定义依赖关系,dependency通过groupid,artifactid及version来定义所依赖的项目。Swagger再前后端开发和分析中,为
鲨鱼饿死了·2023-10-25 05:02

代码审计|基于某Java开源系统的代码审计

0x00前言本篇文章为Java代码审计入门的一篇文章,篇幅有限,很多漏洞没有审计覆盖,以后有时间再更新一个系列。
灼剑(Tsojan)安全团队·2023-10-25 05:02

java代码审计_从零开始java代码审计系列(四)

最近打算审一审web项目,毕竟复现一些java的经典漏洞和审计javaweb还是有些区别的,这次审计的项目地址:https://gitee.com/oufu/ofcms审计时可以IDEA可以装上FindBugs还是有一些帮助的。后台任意文件上传漏洞路径/ofcms/ofcms-admin/src/main/java/com/ofsoft/cms/admin/controller/cms/Templ
书香拌饭·2023-10-25 05:32

JAVA代码审计-纵向越权漏洞分析

查看这个cms系统后台管理员添加用户的页面点击添加管理员这个模块只有管理员拥有,普通用户没有这个模块。打开源码分析是否存在越权漏洞。------------------------------------------------------------------------------------------------------------表单代码:姓名::--请选择--男女:--请选择--
昵称还在想呢·2023-10-25 05:01

Java代码审计-因酷网校在线教育系统-越权漏洞分析

查看这个页面的html源码,进行代码审计。(这点怎么通过源码怎么找到的就不提了,写上实在啰嗦了。)
昵称还在想呢·2023-10-25 05:31

JAVA代码审计-XSS漏洞分析

XSS漏洞,可不仅仅是弹窗这么简单,本篇先讲一讲触发该漏洞的形式,换一期讲一讲XSS的危害究竟有多大!反射型XSS漏洞反射型XSS漏洞是当攻击者添加恶意代码到网页请求中,该请求立即在用户浏览器中生成恶意响应结果,这种攻击往往需要用户先点击恶意链接才能完成。一个简单的反射型XSS漏洞的Java代码示例可以如下:Servlet代码:javaCopyCodeimportjavax.servlet.*;i
昵称还在想呢·2023-10-25 05:31

代码审计-JAVA】javaweb代码审计思路

前言:介绍:博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。擅长:对于技术、工具、漏洞原理、黑产打击的研究。C站缘:C站的前辈,引领我度过了一个又一个技术的瓶颈期、迷茫期
黑色地带(崛起)·2023-10-25 05:30

代码审计】JWT Token

0x00介绍JSONWebToken缩写成JWT,被用于和服务器的认证场景中,这一点有点类似于Cookie里的Sessionid,关于这两者的区别可以看本文尾部的参考链接。JWT由三部分构成,分别为Header(头部)、Payload(负载)、Signature(签名),三者以小数点分割,格式类似于这样:Header.Payload.Signature实际遇到的JWT一般是这种样子eyJhbGci
TeamsSix·2023-10-25 05:00

JAVA代码审计——WebGoat 认证缺陷

目录前言:(一)AuthenticationBypassesPasswordResetAccountVerificationHelper.java修复建议0x02JWTTokens
@Camelus·2023-10-25 05:59

Java代码审计----<OWASP TOP 10 2017>

Java代码审计----1.注入1.1SQL注入jdbc拼接不当jdbc有两种执行sql语句的方法:Statement和PrepareStatement。
逸琅·2023-10-25 05:58

JAVA代码审计与安全编码

java代码审计系列视频课程概述本文重点介绍JAVA安全编码与代码审计基础知识,会以漏洞及安全编码示例的方式介绍JAVA代码中常见Web漏洞的形成及相应的修复方案,同时对一些常见的漏洞函数进行例举。
mingzhi61·2023-10-25 05:58

JAVA代码审计-json web token 安全分析

JWT是包含三个部分json数据类型headeralg:设置算法cty:内容的类型typ:类型kid:密钥id通常只使用alg和typ,alg默认的是HS256加密最后,使用Base64URL算法将上述JSON对象转换为字符串保存,就是完整的Headerpayloadiss:发布人sub:主题exp:到期时间nbf:之前不可用iat:发布时间jti:jwt的id,用来标识此JWTaud:用户这些字
昵称还在想呢·2023-10-25 05:27

DVWA-impossible代码审计

文章目录DVWA靶场—impossible代码审计1.暴力破解(BruteForce)1.1代码审计1.2总结2.命令注入(CommandInjection)2.1代码审计2.2总结3.跨站请求伪造(CSRF
来日可期x·2023-10-25 02:18

buuctf_练[MRCTF2020]Ezaudit

[MRCTF2020]Ezaudit掌握知识网站源码泄露,代码审计,SQL注入的万能密码使用,mt_rand函数的伪随机数漏洞搭配php_mt_seed工具使用,随机数特征序列的生成解题思路打开题目链接
生而逢时·2023-10-24 21:21

NSSCTF第8页(1)

[HGAME2023week1]ClassicChildhoodGamejs代码审计,找关键语句,发现event.js里边东西是最多的找到了通关语句他下边应该是就关键代码了,有一串16进制代码解出来是base64
呕...·2023-10-23 20:38

网络安全(黑客自学)一般人我劝你还是算了吧

3.所需要的技术水平需要掌握的知识点偏多(举例):外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要,没有网络安全就没有国
德西德西·2023-10-23 16:52

buuctf[极客大挑战 2019]Havefun 1

网页环境title标题每一帧都不要放过,或许那个不起眼的地方就存在重要信息到这并未发现什么重要信息,F12看看在源代码底部发现PHP代码:PHP代码审计通过GET方式进行传参(就是通过URL地址进行传参
白猫a٩·2023-10-23 06:29

buuctf[HCTF 2018]WarmUp 1

题目环境:发现除了表情包,再无其他F12试试发现source.php文件访问这个文件,格式如下:url/source.php回显如下:PHP代码审计:"source.php","hint"=>"hint.php
白猫a٩·2023-10-23 06:57

一、BurpSuite基本界面学习

一、Dashboard1.ScanScan功能:能够对网站进行爬行(主要发现网站可交互的接口和网址关联的路径,结果显示在Target)和代码审计(除了爬行的效果外,一定程度上会进行漏洞发现与查找)重点:
黑日里不灭的light·2023-10-23 04:11

PHP代码审计工具

PHP代码审计工具1环境准备Seay源代码审计系统.exe和准备靶场的源码php2Seay下载地址https://github.com/f1tz/cnseay安装Seay源代码审计系统.exe报错时,安装
煜磊·2023-10-22 19:54

Java代码审计之XSS攻击

深入了解Java中的XSS攻击存在XSS漏洞的java代码:第一段反射型XSS@RequestMapping("/reflect")@ResponseBodypublicstaticStringreflect(Stringxss){returnxss;}payloadhttp://localhost:8888/xss/reflect?xss=%3Cscript%3Ealert(%27tpa%27)
tpaer·2023-10-22 12:58

网络安全中什么是应急响应工程师?

网络安全中细分的工作岗位有很多,除了常见的安全运维工程师、安全服务工程师、渗透测试工程师、网络安全工程师之外,还有代码审计工程师、应急响应工程师等。那么网络安全中什么是应急响应工程师?
老男孩IT教育·2023-10-22 03:59

记一次Postgresql从堆叠注入到RCE

本次研究过程来自一次某cms的代码审计实战,整个环境部署的相对较好,postgresql、web权限都有单独的用户管理,web目录不可写、服务器不能出网等限制。
why811·2023-10-21 06:25

知识星球2023年10月PHP函数小挑战

前几天在『代码审计』知识星球里发了一个小挑战:https://t.zsxq.com/13bFX1N8F执行环境是PHP7.4,目标是读取到flag。
落沐萧萧·2023-10-20 22:21

100天掌握网络安全知识点!

3.所需要的技术水平需要掌握的知识点偏多(举例):外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要,没有网络安全就没有国
羊村最强沸羊羊·2023-10-20 18:58

2021/10/11-学习日记

1.BUUCTF刷题-BUUCODEREVIEW11.BUUCODEREVIEW1代码审计题,利用反序列化漏洞。
狐萝卜CarroT·2023-10-20 17:29

黑客技术(网络安全)学习

3.所需要的技术水平需要掌握的知识点偏多(举例):外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要,没有网络安全就没有国
德西德西·2023-10-20 06:00

web:[MRCTF2020]Ez_bypass

题目点进题目调整一下进行代码审计,先看第一段if(isset($_GET['gg'])&&isset($_GET['id'])){$id=$_GET['id'];$gg=$_GET['gg'];if(md5
sleepywin·2023-10-20 01:37

红队专题-从零开始VC++C/S远程控制软件RAT-MFC-[5]客户端与服务端连接

红队专题招募六边形战士队员端操作系统SystemInfo类获取系统信息发送系统信息头文件声明头文件调用未找到来自OleAcc.dll的导入LINK招募六边形战士队员一起学习代码审计、安全开发、web攻防
amingMM·2023-10-20 01:14

DVWA-impossible代码审计

文章目录DVWA靶场—impossible代码审计1.暴力破解(BruteForce)1.1代码审计1.2总结2.命令注入(CommandInjection)2.1代码审计2.2总结3.跨站请求伪造(CSRF
g_h_i·2023-10-19 23:44

Java代码审计之JDBC中的sql注入

java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞”了解常见代码安全提升代码安全能力代码不被黑客黑-https://edu.csdn.net/course/detail
mingzhi61·2023-10-19 21:07

攻防世界web进阶区unserialize3

打开链接代码审计,初步判断code传参获取flag,序列化绕过_wakeup()函数得到payload编写一个xctf类并序列化,运行代码得到payload:O:4:“xctf”:1:{s:4:“flag
gongjingege·2023-10-19 08:54

sqllabs详解与知识点汇总(内含代码审计

sqllabs(1-65)详解关于注释符的详解SQL注入注释符(#、--、/**/)使用条件及其他注释方式的探索-impulse--博客园(cnblogs.com)HTTP请求方法------GET对比POSTHTTP方法:GET对比POST|菜鸟教程(runoob.com)来自知乎的绕过SQL注入:各种绕过检测的姿势-知乎(zhihu.com)Less-1~4@读题-------------ge
Samblue_M·2023-10-19 02:03

【渗透测试笔记】之【缓冲区溢出】

代码审计逆向工程模糊测试向程序堆栈半随机的数据、根据内存变化判断溢出数据生成器:生成随机、半随机数据测试工具:识别溢
AA8j·2023-10-19 01:37

第39篇:Coverity代码审计/代码扫描工具的使用教程

Part1前言前面几期介绍了Fortify及Checkmarx的使用,本期介绍另一款代码审计工具Coverity的使用,Coverity可以审计c、c++、Java等代码,使用起来非常麻烦,相比于Fortify
希潭实验室ABC123·2023-10-18 13:38

coverity工具 代码审计

第39篇:Coverity代码审计/代码扫描工具的使用教程_希潭实验室ABC123的博客-CSDN博客
sun007700·2023-10-18 13:57

apk和小程序渗透测试

文章目录apk代码审计apk渗透小程序apk代码审计将测试用的exe文件放到目录下:使用下面命令进行扫描:wxapkg_1.5.0_windows_amd64.exescan然后选择要进行渗透的apk,
EMT00923·2023-10-17 23:35

网络安全—小白自学笔记

3.所需要的技术水平需要掌握的知识点偏多(举例):外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要,没有网络安全就没有国
德西德西·2023-10-17 09:19

红队专题-从零开始VC++远程控制软件RAT-C/S-[4]客户端与服务端连接

红队专题招募六边形战士队员服务端编写新建工程server函数创建主线程类获取配置信息command命令startsocket开始监听win32类库/头文件招募六边形战士队员一起学习代码审计、安全开发、web
amingMM·2023-10-17 07:39

24岁、零基础,想转行做网络安全。怎样比较可行?

进阶学习资源包》【安全链接免费领取】网络安全是一个很大的概念,包含的东西也很多,比如web安全,系统安全,二进制安全,无线安全、数据安全、移动安全、工控安全、渗透测试,ctf,售前售后,运维安全,样本分析、代码审计
网安教程·2023-10-17 01:25

零基础,想转行做网络安全。怎样比较可行?

网络安全是一个很大的概念,包含的东西也很多,比如web安全,系统安全,二进制安全,无线安全、数据安全、移动安全、工控安全、渗透测试,ctf,售前售后,运维安全,样本分析、代码审计、密码算法、等保测评等等等等等等
没更新就是没更新·2023-10-17 01:20

E035-服务漏洞利用及加固-利用CVE-2017-7269漏洞渗透IIS6.0实现远程控制

实验等级:中级任务场景:【任务场景】磐石公司邀请渗透测试人员对该公司的对外提供服务的服务器进行渗透测试,发现公司一台业务服务器运行了IIS6.0的中间件,被植入了后门,进入服务器进行代码审计的过程中发现了
孪生质数-·2023-10-16 13:33

零基础入门网络安全,收藏这篇不迷茫「2022最新」

所有工作内容包括漏洞挖掘、代码编程、安全服务、流量分析、入侵检测、云防护、系统攻防、代码审计等等。
学网安的喵桑·2023-10-16 03:48

NewStarCTF2023week2-游戏高手

js代码审计,定位到输出flag的地方首先进行了一个条件判断,如果游戏分数大于100000,就会执行下面的代码块;然后创建了一个XMLHttpRequest对象,用于向服务器下的/api.php发送POST
kali-Myon·2023-10-15 09:37

NewStarCTF2023week2-Unserialize?

代码审计:定义了一个eval类,该类下有一个私有变量cmd和公有成员函数destruct(),该函数在对象的所有引用都被删除或类被销毁时会自动调用;调用该函数则会执行一个正则表达式进行正则匹配,过滤掉了一些常用命令和
kali-Myon·2023-10-15 09:35

网络安全(黑客)技术自学

3.所需要的技术水平需要掌握的知识点偏多(举例):外围打点能力渗透漏洞挖掘流量分析代码审计逆向免杀4.国家政策环境对于国家与企业的地位愈发重要,没有网络安全就没有国
德西德西·2023-10-14 15:29

[代码审计篇]PHP代码审计入门(前置要点)

前言为了更好的理解漏洞原理以及提升自己的挖洞能力,终于还是入坑了代码审计
「已注销」·2023-10-14 12:03
上一页 3 4 5 6 7 8 9 10 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他