代码审计

对某Flask应用的简单审计

NNN4cy 代码审计 2018-05-30

4410 0 0

上次去参加BCTF，第一道AWD题目就是Flask的SSTI漏洞，当时由于不熟悉Flask框架，，所以一开始没意识到这是模板命令注入的漏洞，，直到抓到别人的流量才知道了payload，，回来之后好好学了下Flask框架。整得来说F…

NNN4cy 代码审计, 渗透测试 2018-05-21

4471 0 2

作者：L3m0n 确认版本 # 首先可以通过接口来确认一下当前禅道的版本。 [crayon-68a2175f094c7306566149/] SQL注入分析 # 网上之前有过一个9.1.2的orderBy函数的分析，但是没想到9.2…

NNN4cy 代码审计 2018-05-21

3291 0 4

作者简介：Daniel 蚂蚁金服·数据体验技术团队目前网上有很多「XX源码分析」这样的文章，不过这些文章分析源码的范围有限，有时候讲的内容不是读者最关心的。同时我也注意到，源码是在不断更新的，文章里写的源码往往已经过时了。因为这些…

腹黑代码审计 2017-08-23

4299 0 0

SQL注入安全的做法： [crayon-68a2175f0a82b179535703/] [crayon-68a2175f0a835933609248/] 不安全的做法： [crayon-68a2175f0a83924577731…

腹黑 WEB安全, 代码审计 2017-08-08

4385 0 0

Metinfo 8月1日升级了版本，修复了一个影响小于等于5.3.17版本（几乎可以追溯到所有5.x版本）的SQL注入漏洞。这个SQL注入漏洞不受软WAF影响，可以直接获取数据，影响较广。 0x01. 漏洞原理分析漏洞出现在 /i…

追梦代码审计 2017-07-27

3024 0 0

代码审计的时候,遇到个坑,由电脑上burp抓包,查看源码得知需要POST数据过去,可是无论如何都服务端post都接不到任何数据,反而file_get_contents(‘php://input’)收到了在花费了半小时之后的谷歌才发…

5262 0 0

第五届中国网络安全大会（NSC2017）在京隆重举行或第五届中国网络安全大会（NSC2017）在京盛大召开或第五届中国网络安全大会观信息安全“产、学、研、用” 或第五届中国网络安全大会（NSC2017…

12750 0 0

2013，2014, 2015, 2016, 2017…… 在互联网快速发展迭代的潮流中，ISC中国互联网安全大会已走到第五个年头，今年迎来了五岁生日。五届聚力前行安全永无止境 ISC中国互联网安全大会始办于2013年，在国家互…

SecJack 代码审计 2017-05-16

2809 0 0

在甲方公司做代码审计一般还是以白盒为主，漏洞无非这么几类，XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露等。 1.xss + sql注入其中占大头的自然是XSS与SQL注入，对于框架类型或者有公共文…

SecJack WEB安全, 代码审计, 工具分享, 无线安全, 最新漏洞 2017-05-14

6079 0 1

1 前言善于编写高质量POC，有助于我们更好地发现和利用漏洞，再结合爬虫探测程序，就可以构建一个比较完善的漏洞利用框架。编写POC的门槛并不是很高，关键还是在于对漏洞本身的理解，只要有兴趣，再加点技巧，你就会发现其实都是套路。 2…