代码审计

代码审计初探与XDCMS审计

代码审计初探与XDCMS审计

代码审计初探之XDCMS 一来总结一下最近所学习的代码审计的知识。 二来实战一下一个小CMS的代码审计。 代码审计 目的 查找并修复在开发阶段存在的一些漏洞或程序逻辑错误,避免漏洞被非法利用给企业带来风险。 应该让开发人员填写一个C…
智能合约代码审计

智能合约代码审计

最近几年区块链风头正旺,也有不少企业有代码安全审计的需求,因此也从网上搜索了业内的相关技术类的网站,本篇文章文章以实例编写翻译,感觉不错,分享到社区作为笔记 为了教会你如何进行审计,我会审计我自己写的一份合约。这样,你可以看到可以由…
对某Flask应用的简单审计

对某Flask应用的简单审计

上次去参加BCTF,第一道AWD题目就是Flask的SSTI漏洞,当时由于不熟悉Flask框架,,所以一开始没意识到这是模板命令注入的漏洞,,直到抓到别人的流量才知道了payload,,回来之后好好学了下Flask框架。 整得来说F…
如何阅读大型前端开源项目的源码

如何阅读大型前端开源项目的源码

作者简介:Daniel 蚂蚁金服·数据体验技术团队 目前网上有很多「XX源码分析」这样的文章,不过这些文章分析源码的范围有限,有时候讲的内容不是读者最关心的。同时我也注意到,源码是在不断更新的,文章里写的源码往往已经过时了。因为这些…
Metinfo 5.3.17 前台SQL注入漏洞分析

Metinfo 5.3.17 前台SQL注入漏洞分析

Metinfo 8月1日升级了版本,修复了一个影响小于等于5.3.17版本(几乎可以追溯到所有5.x版本)的SQL注入漏洞。这个SQL注入漏洞不受软WAF影响,可以直接获取数据,影响较广。 0x01. 漏洞原理分析 漏洞出现在 /i…
post需要application/x-www-form-urlencoded

post需要application/x-www-form-urlencoded

代码审计的时候,遇到个坑,由电脑上burp抓包,查看源码得知需要POST数据过去,可是无论如何都服务端post都接不到任何数据,反而file_get_contents(‘php://input’)收到了 在花费了半小时之后的谷歌才发…
【安全会议】ISC中国互联网安全大会五岁啦!

【安全会议】ISC中国互联网安全大会五岁啦!

2013,2014, 2015, 2016, 2017…… 在互联网快速发展迭代的潮流中,ISC中国互联网安全大会已走到第五个年头,今年迎来了五岁生日。 五届聚力前行 安全永无止境 ISC中国互联网安全大会始办于2013年,在国家互…