分类 "代码审计" 下的文章

目录0x00 写在前面为什么会有这一些列的文章呢?因为我发现网上没有成系列的文章或者教程,基本上是 Java 代码审计中某个点来阐述的,对于新人来说可能不是那么友好,加上本人也在学习 Java 审计,想做个学习历程的记录和总结,因此有了本系列的文章。本系...

目录0x00 写在前面为什么会有这一些列的文章呢?因为我发现网上没有成系列的文章或者教程,基本上是 Java 代码审计中某个点来阐述的,对于新人来说可能不是那么友好,加上本人也在学习 Java 审计,想做个学习历程的记录和总结,因此有了本系列的文章。本系...

目录一、前言一年的考研复习终于过去,虽然没有按着自己想法走,但终是上了岸。因为有了时间,因此打算将以前一直想做的关于代码审计原理和实践总结给写出来,内容主要是通过分析Web漏洞的原理,结合CVE实例,来分析SQL漏洞、XSS漏洞、上传漏洞、执行漏洞等,由...

一、起因偶然间看到的一套cms系统,随手测试一波csrf,没想到失败了,于是看了一下这套cms的csrf防御代码二、 过程一个简单的后台页面

目录一、重装漏洞和其他CMS没有什么两样,都是通过lock文件来判定是否安装过CMS,只不过这里出现问题的是,对于lock文件的判定不是全局,而是仅仅在step1进行了判定,攻击者可以直接POST请求step2、step3来进行重装。分析如下:Insta...

目录一、前言进入六月以后,自己的时间也就充裕很多了。很多比赛结束、绿盟那边暂时也没有什么任务,就等着7月份去入职了。所以沉下心准备学点东西。于是就选择一位老哥审计过的源码,自己来审计一遍,看看自己的差距,也给自己增加点经验。再就是上次土司聚会就说会在土司...