漏洞分析 - 推荐的文章 - 第4页

随缘审计 - cms/0day/后台篇(php)

随缘审计，不定时更，如果有做得不好的地方还请师傅们多多指点

0
4
N1eC
发布于 2021-07-03 18:13:24
阅读 ( 9291 )

Celery Redis未授权访问利用

0
4
fnmsd
发布于 2021-07-02 10:02:05
阅读 ( 12453 )

无处不在的sql注入加过安全狗上传木马

日常测试

3
4
xingshen
发布于 2021-06-30 11:14:40
阅读 ( 6882 )

某CMS代码执行漏洞分析

对opensns的一次代码审计，涉及到一些tp框架的方法利用,以及对tp框架进行审计时经常忽略的点 #0x2 漏洞分析官网下载源码：http://os.opensns.cn/product/index/download...

1
4
moonv
发布于 2021-06-22 09:23:40
阅读 ( 7783 )

MCP Server 攻击面初探与思考

从安全角度来看，MCP 增加了更多 AI 安全实践机会，AI 安全再也不是议题中的 ”AI 赋能“，也不再是实验室层面才能进行的理论研究，未来也可能会像 SRC 挖掘那样百花齐放，鉴于 MCP 技术较新且笔者水平有限，有不足和错误之处请师傅们批评斧正

2
3
385
发布于 2025-04-10 10:38:27
阅读 ( 8758 )

基于SimpleXMLElement class的免杀webshell

2
3
nn0nkeyk1n9
发布于 2025-03-18 09:33:27
阅读 ( 16284 )

巧用异或绕过限制导致rce

某课程系统后台RCE

1
3
中铁13层打工人
发布于 2025-02-14 10:00:02
阅读 ( 27946 )

结合阿里云通义灵码辅助新手小白快速代码审计的最佳实践

本文介绍了作者在数据安全比赛中遇到的一个开源框架的代码审计过程。作者使用了多种工具，特别是“通义灵码”，帮助发现了多个高危漏洞，包括路径遍历、文件上传、目录删除、SQL注入和XSS漏洞。文章详细描述了如何利用这些工具进行漏洞定位和验证，并分享了使用“通义灵码”的心得和体验。最后，作者总结了AI在代码审计中的优势和不足，并展望了未来的发展方向。

3
3
周周的奇妙编程
发布于 2025-01-06 10:00:00
阅读 ( 24935 )

代码审计 - MCMS v5.4.1 0day挖掘

记一次 MCMS v5.4.1 代码审计，编号为 CVE-2024-42990&CVE-2024-42991。本文由笔者首发于先知社区的技术文章板块：https://xz.aliyun.com/t/16630

3
3
ve1kcon
发布于 2025-01-02 10:00:00
阅读 ( 24623 )

一文搞懂windows UAC机制逻辑及提权原理

核心内容："一文讲清楚windows UAC核心机制逻辑，总结历史上常见UAC提权方式是如何利用这些逻辑的漏洞来实现提权的，并提出检测思路"

1
3
Ga0WeI
发布于 2024-09-06 09:00:00
阅读 ( 19929 )

某安防管理平台一次远程命令执行漏洞分析

通过某些渠道拿到一些漏洞情报，直接打开idea完整的跟一下给他卷出来，简单的讲述一下整个分析的过程以及漏洞触发的流程

2
3
zhizhuo
发布于 2024-06-20 10:00:00
阅读 ( 40725 )

某积分商城任意金额支付漏洞分析利用及思考

大部分开发人员在开发时都会有一种思维惯性，传参处处有校验==处处都可信，但这个等式并非恒成立

5
3
K1v1n
发布于 2024-05-10 10:00:00
阅读 ( 18022 )

一次有趣的锐捷前台无条件RCE漏洞分析

本篇文章对锐捷前台无条件RCE漏洞进行细致分析和代码审计，带你一步步进入最高权限的天堂，感受CNVD满分漏洞的无穷魅力

1
3
新人小安
发布于 2024-04-07 10:00:01
阅读 ( 13649 )

某oa命令执行漏洞挖掘思路

前段时间看到某系统爆出一个RCE，随后找到了源码对漏洞进行分析，并利用历史漏洞找到了其他突破点，进而找到新的漏洞。

5
3
中铁13层打工人
发布于 2024-01-23 09:00:02
阅读 ( 38206 )

某cms模板渲染导致rce漏洞分析

模板渲染是网站开发中常用的技术，可以实现动态生成页面内容。然而，如果模板渲染过程中存在安全漏洞，则可能会导致远程代码执行（RCE）等严重后果。

1
3
中铁13层打工人
发布于 2024-01-10 09:00:02
阅读 ( 27757 )

某次实战代码审计出sql注入漏洞记录

某次项目中朋友拿到了一份web的源码让帮忙看下，通过审计发现多处注入，挑选一处记录一下

1
3
中铁13层打工人
发布于 2023-12-19 10:08:12
阅读 ( 17460 )

无痕制作钓鱼邮件

声明：利用钓鱼网站骗取银行卡或信用卡账号、密码等私人资料属于非法行为，请不要进行任何非授权的网络攻击，由于传播、利用本文所提供的信息而造成的任何直接或间接的后果及损失，均由使用者...

13
3
HbTigerGe
发布于 2023-12-08 11:50:20
阅读 ( 24015 )

【Web实战】哥斯拉全语言流量分析

哥斯拉是继菜刀、蚁剑、冰蝎之后的又一个webshell利器，这里就不过多介绍了。 GitHub地址：https://github.com/BeichenDream/Godzilla 很多一线师傅不太了解其中的加解密手法，无法进行解密，这篇文章介绍了解密的方式方法，主要补全了网上缺少的ASP流量分析、PHP解密脚本和C#解密脚本。

3
3
JKL
发布于 2023-11-09 10:00:01
阅读 ( 20600 )

基于yii框架的系统审计

某次审计基于YII框架二开的系统

0
3
中铁13层打工人
发布于 2023-08-24 09:00:01
阅读 ( 9777 )

某开源项目管理软件命令执行漏洞分析

1
3
小狐狸FM
发布于 2023-07-11 17:15:53
阅读 ( 5872 )