标签:代码审计

Java

安全小课堂第133期【基于代码路径的漏洞挖掘】

4

dulong 发布于 2019-03-21

从代码审计的环境基础开始,层层的拆解开,如何快速的搭建并审计java应用,怎么审计最快,怎么能在黑盒测试的时候站在白盒开发的角度想漏洞。 JSRC 安全小课堂第133期,邀请到ayound师傅就基于代码路径的漏洞挖掘为大家进行分享。同时感谢白帽子们的精彩讨论。 京安小妹...

阅读(13)评论(0)赞 (0)

Java

JAVA代码审计-JEECG快速开发平台(一)

20

yanxinchi 发布于 2019-03-18

漏洞: 两个漏洞getshell,无需知道账号密码 0x00 简述 JEECG是一款基于代码生成器的J2EE快速开发平台,开源界“小普元”超越传统商业企业级开发平台。引领新的开发模式(Online Coding模式(自定义表单)->代码生成器模式->手工MERGE智能...

阅读(14)评论(0)赞 (0)

Java

浅谈RASP技术攻防之基础篇

11

puefu.he 发布于 2019-03-18

引言 本文就笔者研究RASP的过程进行了一些概述,技术干货略少,偏向于普及RASP技术。中间对java如何实现rasp技术进行了简单的举例,想对大家起到抛砖引玉的作用,可以让大家更好的了解一些关于web应用程序安全防护的技术。文笔不好,大家轻拍。 一 、什么是RASP? 在201...

阅读(26)评论(0)赞 (0)

Java

浅谈RASP技术攻防之基础篇

11

尖兵 发布于 2019-03-18

引言 本文就笔者研究RASP的过程进行了一些概述,技术干货略少,偏向于普及RASP技术。中间对java如何实现rasp技术进行了简单的举例,想对大家起到抛砖引玉的作用,可以让大家更好的了解一些关于web应用程序安全防护的技术。文笔不好,大家轻拍。 一 、什么是RASP? 在201...

阅读(23)评论(0)赞 (0)

Java

安全小课堂第132期【代码审计&黑白盒测试】

35

小丁 发布于 2019-03-14

从代码审计的环境基础开始,层层的拆解开,如何快速的搭建并审计java应用,怎么审计最快,怎么能在黑盒测试的时候站在白盒开发的角度想漏洞。 JSRC 安全小课堂第132期,邀请到jkgh006师傅就代码审计&黑白盒测试为大家进行分享。同时感谢白帽子们的精彩讨论。 ...

阅读(28)评论(0)赞 (0)

Java

.NET高级代码审计(第三课)Fastjson反序列化漏洞

21

xiaoli.he 发布于 2019-03-13

作者:Ivan1ee@360云影实验室 0X00 前言 Java中的Fastjson曾经爆出了多个反序列化漏洞和Bypass版本,而在.Net领域也有一个Fastjson的库,作者官宣这是一个读写Json效率最高的的.Net 组件,使用内置方法JSON.ToJSON可以快速序列化...

阅读(27)评论(0)赞 (0)

Java

Java代码审计之SpEL表达式注入

4

xiaoli.he 发布于 2019-03-13

*本文原创作者:Lateink,本文属FreeBuf原创奖励计划,未经许可禁止转载 SpEL 表达式注入 Spring Expression Language(简称 SpEL)是一种功能强大的表达式语言、用于在运行时查询和操作对象图;语法上类似于 Unified EL,但提供了更...

阅读(31)评论(0)赞 (0)

Java

Java Web 安全之代码审计

37

wenming.gapo 发布于 2019-02-09

信息安全的75%发生在Web应用而非网络层。本文内容主要以Java Web安全-代码审计为中心展开。 一、JavaWeb 安全基础 1. 何为代码审计? 通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序自身中存在的安全问题,由于Java本身是编译型语言,所以...

阅读(88)评论(0)赞 (0)

Java

Java Web安全之代码审计

36

hellas 发布于 2019-02-08

信息安全的75%发生在Web应用而非网络层。本文内容主要以Java Web安全-代码审计为中心展开。 一、JavaWeb 安全基础 1. 何为代码审计? 通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序自身中存在的安全问题,由于Java本身是编译型语言,所以...

阅读(92)评论(0)赞 (0)

Java

Java Web安全-代码审计(二)

15

xubiao.zhuang 发布于 2019-01-21

点击上方“ 凌天实验室 ”可订阅哦! 文接上回,穿越捷径: Java Web安全-代码审计(一) 4 Java Web基础 1. Java分层思想 为了更好的管理项目我们通常会采用分层架构的方式来开发Java Web项目,分层设计的好处在于可以非常方便的分清楚包之间的业务逻辑关系...

阅读(93)评论(0)赞 (0)

Java

我们应该了解的JNDI数据源配置

49

xubiao.zhuang 发布于 2019-01-10

JNDI数据源配置是一种常用的数据源配置方法,代码审计中可作为一种修复建议,渗透测试时则需要拨开迷雾。 一、写在前面 文章主要介绍了JNDI数据源配置和找回密码的方法,只叹范围太大只能写下冰山一角,如有错误还请指出。 如需了解配置:Tomcat请看2.1,WebLogic请看2....

阅读(76)评论(0)赞 (0)

Java

2018年终总结

dulong 发布于 2019-01-02

2018我觉得对我自己来说是需要总结的一年,所以稍微写一丢丢总结吧。 0x02 历程 其实早在2017年毕业时候就想着离开福建出去看看,但是由于一些其他原因就一直拖到了2018年过年前面试完360企业安全,决定跳开当前的舒适圈工作环境,试试新的开始。第一份工作每天重复性做着没有差...

阅读(74)评论(0)赞 (0)

Java

Code-Breaking Puzzles 做题记录

6

yeseng 发布于 2018-12-26

代码审计圈子里看到Code-Breaking Puzzles,跟着学习着做下。 地址: https://code-breaking.com/ 给P神的代码审计圈子打个广告,199元你买不了吃亏买不了上当: easy – pcrewaf 这个题最开始做上来的,但是做出来...

阅读(133)评论(0)赞 (0)

Java

《缺陷周话》第6期:命令注入

4

yeseng 发布于 2018-11-01

代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,因此一直以来都是学术界和产业界研究的热点,并且已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重...

阅读(69)评论(0)赞 (0)

Java

hitcon2018受虐笔记三:BabyCake学习

刘莉莉 发布于 2018-10-26

代码审计能力真是太太差了,下载下来一看20多M,当时就有点懵,最后连题目的业务逻辑处理过程都没有理解清楚…. 拿到writeup之后,又自己分析了一遍,过程记录如下: 首先看到composer.json文件,知道代码使用了cakephp框架。 然后找源码的controller,主...

阅读(130)评论(0)赞 (0)

Java

【缺陷周话】第6期:命令注入

5

hanze 发布于 2018-10-22

代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,因此一直以来都是学术界和产业界研究的热点,并且已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重...

阅读(164)评论(0)赞 (0)

Java

某开源博客系统最新版源码审计

5

xiaoli.he 发布于 2018-10-20

*本文原创作者:davichi8282,本文属于FreeBuf原创奖励计划,未经许可禁止转载 0×00 概述 近期审计一个JAVA开源博客系统mblog2.5最新版,整体系统还是很安全的,漏洞较少,传统的问题像XSS系统使用全局过滤的方式进行实体化处理,上传问题使用白...

阅读(106)评论(0)赞 (0)

Java

JavaEE论坛2.0审计记录

26

changyuan.xu 发布于 2018-09-23

00×1 前言 毕业设计临近啊~ 要检查了~ 赶紧去网上扣了几套SSM的论坛程序。顺手就审计了一下。 源程序下载地址: http://www.mycodes.net/143/9369.htm 官网: http://bbs.javaee.cc/ 审计出来之后就赶紧跑去官...

阅读(167)评论(0)赞 (0)