Khan安全信息科技有限公司 | CTO (已认证)
DuxCMS 是一款基于PHP/MYSQL开发的、专注于多种平台的基础化内容管理框架
NBCIO 亿事达企业管理平台后端代码,基于jeecgboot3.0和flowable6.7.2,初步完成了集流程设计、流程管理、流程执行、任务办理、流程监控于...
这个文件是install.php 必定是安装文件, 安装之后就不会再安装,所以一定要去确定是否可以运行到对应的审计点。
漏洞很简单,甚至不需要白盒,黑盒能直接测出来,但是代码审计还是看代码吧,我审这个的时候也是直接看的代码,代码位置在src/main/java/com/cms/c...
类似shiro的权限绕过,可以利用static/../je/document/file绕过
长城汽车 | JAVA开发工程师 (已认证)
项目管理中经常讲,合规大于天,在工程上审计部门也会对项目进行代码审计。代码审计和代码审查有什么不同呢?
随着计算机信息技术的飞速发展,软件应用程序已经成为我们日常生活和工作的必需品。然而,人为因素的影响使得每个应用程序的源代码都可能存在安全漏洞,这些漏洞一旦被恶意...
作为一个安服仔,代码审计是一项必备的技能。说好听点是 code review,说直白点就是看代码。说起代码审计这件事,大家都比较关注 source、sink、漏...
作者@G3et继上篇文章《一个IP?Getshell》简单代码审计一波:以下打码有漏,但是无妨,为本地搭建的,非真实站点。
做项目喜闻乐见的获取了bin.rar,当时快速过了config交了数据库权限,然后看代码发现mobileController下方法未授权,交了一些信息泄露,大部...
开始审计前,先看一下目录结构,判断是否使用框架开发,常见的框架如Thinkphp、Laravel、Yii等都有比较明显的特征
免杀是同所有的检测手段的对抗,目前免杀的思路比较多。本篇介绍了一个独特的思路,通过内存解密恶意代码执行,解决了内存中恶意代码特征的检测。同时提出了one cli...
本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途,如果...
由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号亿人安全及作者不为此承担任何责任,一旦造成后果请自行承...
通过全局搜索,发现 xml_unserialize() 对 parse() 函数进行了调用
闪灵cms高校版是一款php开发的智能企业建站系统,该系统能让用户在短时间内迅速架设属于自己的企业网站。建站系统易学易懂,用户只需会上网、不需学习编程及任何语言...
这套老盘子现在公网上虽然还有些存活IP,不过应该没什么人实际在用。遂公开此文章。预与各位分享,共同学习代码审计技术。
