代码审计

Jerry404_NotFound1 个月前
java·开发语言·python·安全·网络安全·渗透·代码审计
求助帖:学Java开发方向还是网络安全方向前景好最近网络安全被一个培训机构吹得天花乱坠,虽然他家既有网安又有java和UI,我也是学软件工程的(山西某211,此机构是每年和我们学校合作的校企公司),但那里的老师仍然大力推荐我学网络安全(渗透、代码审计)。
DevSecOps选型指南2 个月前
网络·安全·web安全·开源·代码审计·软件供应链安全
2025软件供应链安全最佳实践︱证券DevSecOps下供应链与开源治理实践项目背景:近年来,云计算、AI人工智能、大数据等信息技术的不断发展、各行各业的信息电子化的步伐不断加快、信息化的水平不断提高,网络安全的风险不断累积,金融证券行业面临着越来越多的威胁挑战。特别是近年以来,开源生态的不断完善与发展,越来越多的企业引入了开源。对于金融证券行业而言,开源生态共建与安全威胁也呈现了“共生共存”的状态。同时,某某证券正在进行数字化转型能力建设,众多业务都在从传统开发到敏捷式开发转变,迭代速度的加快与发版周期的缩短带来了一系列安全问题:
mooyuan天天2 个月前
web安全·代码审计·upload-labs·upload-labs靶场·杠点绕过
upload-labs通关笔记-第20关 文件上传之杠点绕过目录一、pathinfo函数二、move_uploaded_file函数三、代码审计1、流程分析2、渗透思路
mooyuan天天2 个月前
web安全·代码审计·文件上传·文件上传漏洞·upload-labs靶场
upload-labs通关笔记-第10关 文件上传之点多重过滤(空格点绕过)目录一、源码分析1、delot函数2、strrchr函数3、trim函数4、代码审计5、渗透思路二、渗透实战
饮长安千年月3 个月前
java·网络安全·代码审计
学生管理系统审计项目地址: https://gitee.com/huang-yk/student-manage项目下载到本地后IDEA打开,等待项目加载
go_to_hacker4 个月前
网络·web安全·网络安全·渗透测试·代码审计
AI进行全自动渗透5000篇网安资料库https://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247486065&idx=2&sn=b30ade8200e842743339d428f414475e&chksm=c0e4732df793fa3bf39a6eab17cc0ed0fca5f0e4c979ce64bd112762def9ee7cf0112a7e76af&scene=21#wechat_redirect
cop_g4 个月前
java·代码审计·java安全
Java安全-类的动态加载先在方法区找class信息,有的话直接调用,没有的话则使用类加载器加载到方法区(静态成员放在静态区,非静态成功放在非静态区),静态代码块在类加载时自动执行代码,非静态的不执行;先父类后子类,先静态后非静态;静态方法和非静态方法都是被动调用,即不调用就不执行。
渗透测试老鸟-九青4 个月前
网络·经验分享·安全·web安全·区块链·智能合约·代码审计
区块链 智能合约安全 | 整型溢出漏洞目录:核心概念溢出类型上溢原理案例下溢原理案例练习漏洞修复使用 SafeMath 库(旧版本)升级 Solidity 版本(≥0.8.0)
go_to_hacker4 个月前
网络·web安全·网络安全·渗透测试·代码审计·春招
奇安信二面《网安面试指南》https://mp.weixin.qq.com/s/RIVYDmxI9g_TgGrpbdDKtA?token=1860256701&lang=zh_CN
渗透测试老鸟-九青4 个月前
运维·服务器·网络·经验分享·安全·web安全·代码审计
我与红队:一场网络安全实战的较量与成长目录:一、团队建设实践经验二、红队成员核心能力三、红队快速上分若干技巧四、经典案例五、红队眼中的防守弱点
DevSecOps选型指南4 个月前
安全·云原生·代码审计·开发安全·软件供应链安全厂商
2025软件供应链安全案例︱证券行业云原生DevSecOps敏捷安全实践最佳实践打造云原生DevSecOps敏捷安全治理体系以容器、微服务、服务网格、声明式API等为代表的云原生技术的深入应用,改变了以往的研发方式:传统瀑布流开发模式逐渐被取代,DevOps敏捷开发成为主流。在云原生架构下,服务数量和关系复杂度几何提升,供应链与漏洞风险成倍放大,核心组件漏洞与缺陷的风险与交付速度之间的冲突加剧,业务应用安全面临严峻挑战。
渗透测试老鸟-九青5 个月前
网络·经验分享·安全·web安全·代码审计·xss·csrf
记一次Self XSS+CSRF组合利用目录:确认 XSS 漏洞确认 CSRF 漏洞这个漏洞是我在应用程序的订阅表单中发现的一个 XSS 漏洞,只能通过 POST 请求进行利用。通常情况下,基于 POST 的 XSS 如果没有与 CSRF 结合来展示其影响力,那么这就是一个普通的反射型 XSS(Self XSS)。本来这不会成为一个大问题,但这个表单中实现了 Google reCAPTCHA v2。本文将探讨我是如何绕过 CAPTCHA,从而成功实现 CSRF 攻击的。
零星_AagT5 个月前
java·笔记·apache·代码审计
Apache-CC6链审计笔记在之前CC1的审计中发现ChainedTransformer的transform方法还可以被LazyMap的get方法调用
白初&5 个月前
java·shiro·代码审计·反序列化
shiro代码层面追踪环境搭建:https://blog.csdn.net/qq_44769520/article/details/123476443
渗透测试老鸟-九青5 个月前
网络·经验分享·安全·网络安全·面试·渗透·代码审计
HW面试经验分享 | 北京蓝中研判岗目录:所面试的公司介绍面试官的问题:1、面试官先就是很常态化的让我做了一个自我介绍2、自我介绍不错,听你讲熟悉TOP10漏洞,可以讲下自己熟悉哪些方面吗?
小彭爱学习6 个月前
web安全·网络安全·php·ctf·代码审计·extract
php审计1-extract函数变量覆盖这是一个关于php审计的栏目,本人也是初学者,分享一下网上的关于php审计的一些知识,学习一下php的语法,顺便记录一下学习过程。
ccc_9wy7 个月前
mysql·网络安全·代码审计·udf提权·hackmyvm·文件包含漏洞getshell·qdpm
HackMyVM-Alive靶机的测试报告目录一、测试环境1、系统环境2、使用工具/软件二、测试目的三、操作过程1、信息搜集2、Getshell
渗透测试老鸟-九青8 个月前
经验分享·安全·网络安全·面试·渗透·漏洞·代码审计
面试经验分享 | 杭州某安全大厂渗透测试岗所面试的公司:某安全大厂所在城市:杭州面试职位:渗透测试工程师面试过程:面试官的问题:1、面试官开始就问了我,为什么要学网络安全?
白初&8 个月前
java·c++·python·php·代码审计
文件上传代码分析代表就是php/jsp/asp这种,他们的运⾏模式是⼀套动态解释引擎+脚本代码,在这种运⾏模式 下,我们⼀旦能够获取cmdshell或者物理设备,等同于我们能看到全部的代码。 所以对于php/jsp/asp⽽⾔,简单记为我们能看到所有的代码,是纯⽩盒审计。
小春学渗透8 个月前
java·开发语言·安全·php·mvc·代码审计
DAY111PHP开发框架&THIKNPHP&反序列化&POP利用链&RCE执行&文件删除1、__destruct发现调用$this->removeFiles();2、removeFiles();函数方法file_exists,@unlink($filename);文件删除功能