类似shiro的权限绕过，可以利用static/../je/document/file绕过

项目管理中经常讲，合规大于天，在工程上审计部门也会对项目进行代码审计。代码审计和代码审查有什么不同呢？

随着计算机信息技术的飞速发展，软件应用程序已经成为我们日常生活和工作的必需品。然而，人为因素的影响使得每个应用程序的源代码都可能存在安全漏洞，这些漏洞一旦被恶意...

作为一个安服仔，代码审计是一项必备的技能。说好听点是 code review，说直白点就是看代码。说起代码审计这件事，大家都比较关注 source、sink、漏...

作者@G3et继上篇文章《一个IP Getshell》简单代码审计一波：以下打码有漏，但是无妨，为本地搭建的，非真实站点。

做项目喜闻乐见的获取了bin.rar，当时快速过了config交了数据库权限，然后看代码发现mobileController下方法未授权，交了一些信息泄露，大部...

开始审计前，先看一下目录结构，判断是否使用框架开发，常见的框架如Thinkphp、Laravel、Yii等都有比较明显的特征

免杀是同所有的检测手段的对抗，目前免杀的思路比较多。本篇介绍了一个独特的思路，通过内存解密恶意代码执行，解决了内存中恶意代码特征的检测。同时提出了one cli...

本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集，旨在提高网络安全技术水平为目的，只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途，如果...

由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号亿人安全及作者不为此承担任何责任，一旦造成后果请自行承...

通过全局搜索，发现 xml_unserialize() 对 parse() 函数进行了调用

闪灵cms高校版是一款php开发的智能企业建站系统，该系统能让用户在短时间内迅速架设属于自己的企业网站。建站系统易学易懂，用户只需会上网、不需学习编程及任何语言...

这套老盘子现在公网上虽然还有些存活IP，不过应该没什么人实际在用。遂公开此文章。预与各位分享，共同学习代码审计技术。

这里需要传入三个参数，而最后的content则是我们需要填写的内容，在代码93行处存在过滤

本次CMS审计花费了很多时间,一方面因为漏洞点有点多，另一方面也是初学代码审计，不太擅长，经过此次审计后对SQL注入和XSS漏洞有了进一步的了解，也学到了新的思...

PbootCMS 3.0.4，下载仓库 · 星梦/PbootCMS - Gitee.com

在消失的这段时间里，我做了件大事，见证了儿子的出生并陪伴其一天天的成长。停止更文的200多天里，还能得到小伙伴们持续的支持，让我备受鼓励。对一个技术人员而言，分...