之前简单审计过DedeBIZ系统,网上还没有对这个系统的漏洞有过详尽的分析,于是重新审计并总结文章,记录下自己审计的过程。https://github.com/DedeBIZ/De…
Flask代码审计SQL注入命令/代码执行反序列化文件操作XXESSRFXSS其他审计实战后记referenceFlask代码审计SQL注入1、正确的使用直白一点就是:使用”逗号”…
版本<!-- https://mvnrepository.com/artifact/org.beanshell/bsh (beanshell1)--> <depe…
payload// // Source code recreated from a .class file by IntelliJ IDEA // (powered by Fern…
之前的文章中曾为大家简单介绍过线上代码审计平台ssa.to今天牛牛就来为大家详细介绍一下如何用ssa进行PHP的代码审计tp封装的辅助参数,I/request方法thinkphp中…
漏洞复现复现前准备:1.在对应目录下创建一个1.txt,并随便写一些东西2.你想下载哪个目录下的1.txt就更改ruoYiConfig.setProfile('C://Users/…
关于ObfuscarObfuscar是一款针对.NET程序的开源代码混淆工具,该工具支持使用大量重载将 .NET 程序集中的元数据(包括方法、属性、事件、字段、类型和命名空间的名称…
环境相关及其他说明本篇以tomcat8.0.50为例进⾏分析,后⽂简称为tomcat,同时讨论的是第⼀次访问并编译jsp的过程(有⼩区别不重要)并且不涉及到其他⼩版本差异。正⽂这⾥…
前言在进行.Net源码审计时,往往会遇到拿到源码DLL文件,然后需要逐一使用反编译工具进行手动审计的情况。这种手动审计方法不仅费时费力,而且效率低下。虽然可以使用findstr /…
关于cwe_checkercwe_checker是一套用于检测常见错误类别(例如空指针取消引用和缓冲区溢出)的检查工具,这些错误类型可以将其称之为CWE。而该工具可以帮助广大研究人…