1 前言现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。2 XSS未对输入和输出做过滤,场景:def xss_test(request):name = req
原创
2015-07-30 15:05:00
881阅读
0x00 前言现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致
原创
2023-06-13 09:20:30
104阅读
Java代码审计系列视频课程(点击下方连接):Java代码审计系列课程概述本文重点介绍JAVA安全编码与代码审计基础知识,会以漏&洞及安全编码示例的方式介绍JAVA代码中常见Web漏&洞的形成及相应的修复方案,同时对一些常见的漏&洞函数进行例举。XXE介绍XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。文档类型定义(DTD)的作用是定义 XML
原创
精选
2022-02-17 17:56:22
1043阅读
代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。即由具备丰富经验的行业人员通过阅读开发文档和逐条检查分析源代码的形式,对应用程序/系统的源代码从规范性、安全性、可靠性等方面进行全方位的安全检查。通过检查源代码是否存在安全编码问题及安全规范性缺陷,令开发人员意识到可能会导致的潜在安全风险和安全漏洞,并为其提供代码修改措施及建议。关键词查询密码硬编码(密
原创
2022-12-30 15:17:55
921阅读
没有规矩,不成方圆,JavaScript带来了灵活性,也带来了不受控的变量和访问,所以要用规则限制它。一支成熟的团队,还是一支新鲜的团队,规则应当是不一样的,我只是列出一些常见的或者有效的办法,来约束跳跃的开发人员,思维可以任意飞跃,代码却要持续受控。当然,任何规则都是建立在一定的认知基础之上的,面向对象JavaScript的基础是必备的,否则一切无从谈起。 变量和方法控制:模块开发不允
转载
2023-10-27 20:41:09
3阅读
代码执行最早被称为命令注入攻击,是指由于web应用程序对用户提交的数据过滤不严格,导致黑客可以通过构造特殊命令字符串的方式,将数据提交至web应用程序,并利用该方式执行外部程序或系统命令实施攻击非法获取数据或网络资源等。PHP代码执行: PHP代码执行是PHP应用程序中常见的脚本漏洞之一,国内著名的web应用程序Discuz、DedeCMS等都曾存在过该类型漏洞。命令执行漏洞是直接操作系
转载
2024-03-25 19:37:39
82阅读
0x00 前言现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。0x01 XSS未对输入和输出做过滤,场景:在代码中一搜,发现有大量地方使用,比较正确的使用方式
转载
2023-08-17 09:32:17
72阅读
0x01 前言 虽然市面上的代码审计的文章已经一大把了,但是还是决定重复造轮子,打算作为一个系列来写的,近年越来越多的安全研究人员投入到php应用的漏洞挖掘,相对应的代码安全问题也被大量的暴露出来,身处这个时代,我很高兴身边的白帽子前辈不断寻求突破并丰富和完善了代码审计这个概念,学到今日,笔者也想总 ...
转载
2021-09-11 07:19:00
354阅读
2评论
SSRFJava 网络请求支持的协议,包括:http、https、file、mailto、jar、netdoc,但是file 协议任
原创
2022-11-17 00:31:18
502阅读
1、CVE-2020-1957(验证绕过漏洞)整个请求过程:客户端请求URL: /xxx/..;/admin/shrio 内部处理得到校验URL为 /xxx/.. 校验通过springboot 处理 /xxx/..;/admin/ 最终请求 /admin/ 成功访问了后台请求.漏洞原因:我们请求的URL在整个项目的传入传递过程。在使用了shiro的项目中,是我们请求的URL(URL1),进过shi
转载
2024-08-16 19:38:44
252阅读
ssrf漏洞 文章目录**ssrf漏洞**漏洞原理ssrf作用漏洞验证漏洞利用绕过SSRF过滤的几种方法ssrf挖掘点挖掘思路图 漏洞原理SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。很多Web应用都提供了从其他服务器上获取数据的功能。使用用户指定
转载
2023-12-28 22:28:37
89阅读
漏洞形成原因:客户端提交的参数,未经任何过滤,传入可以执行代码的函数,造成代码执行
原创
2023-07-05 13:58:11
47阅读
一. 实验目的 (1)掌握网络漏洞扫描的原理和方法 (2)复习Nmap的使用命令和kali的使用 (3)学习开源扫描工具
大家好,我是微赚淘客返利系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!今天我们来聊一聊Java应用的代码
原创
2024-10-19 05:18:41
0阅读
一、代码审计安全代码编写安全: 程序的两大根本:变量与函数漏洞形成的条件:可以控制的变量“一切输入都是有害的 ”变量到达有利用价值的函数(危险函数)“一切进入函数的变量是有害的”漏洞的利用效果取决于最终函数的功能,变量进入什么样的函数就导致什么样的效果。变量安全:秉承一个原则 “一切输入都是有害的”预定义变量[常规外部提交的变量]:除了$_GET,$_POST,$_Cookie的提交之外,还来源
原创
2021-05-24 10:26:04
377阅读
近些年来,随着我国社会发展和科技进步,在军事、航天、航空、能源、金融、公共
原创
2022-12-23 18:02:41
409阅读
代码安全审计实践代码安全审计的内容常见漏洞库代码安全审计的工具源代码安全分析第三方依赖包安全分析代码安全审计的落地参考文档 2020年安全相关的事务变多了,也因此更注重安全合规相关的工作了。其中代码安全审计是安全开发生命周期(SDL)中重要的内容,这一年中也正好负责这块的相关工作,这边做个小结。代码安全审计的内容通常关于代码的安全问题有两类:源码安全分析:通过对源代码进行审查,找出并修复代码中的
转载
2024-05-21 16:04:22
15阅读
0×00 简介 企业安全规划建设过程中,往往会涉及到开发的代码安全,而更多可以实现落地的是源代码安全审计中,使用自动化工具代替人工漏洞挖掘,并且可以交付给研发人员直接进行安全自查,同时也更符合SDL的原...
原创
2021-08-13 14:28:22
395阅读
