0x00 前言LosFormatter一般也是用于序列化和反序列化Web窗体页的视图状态(ViewState)，如果要把ViewState 通过数据库或其他持久化设备来维持，则需要采用特定的 LosFormatter 类来序列化/反序列...

本文约4000字，阅读约需9分钟。Java审计其实和Php审计的思路一样，唯一不同的可能是复杂的框架和代码。1.正向跟踪从数据层查找变量，一级一级调用，最后到控制器，这种相对简单、快速。2.逆向思...

C语言中的指针机制使得它灵活高效，但由于指针操作不当产生的动态内存错误也有很多，比如内存泄漏(Memory Leakage)、内存的重复释放、空指针解引用(NullPointer Dereference)。一、什么是空指针...

从代码审计的环境基础开始，层层的拆解开，如何快速的搭建并审计java应用，怎么审计最快，怎么能在黑盒测试的时候站在白盒开发的角度想漏洞。JSRC 安全小课堂第132期，邀请到jkgh006师傅就...

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！你能收获的1编程基础 | PHP代码审计（上）2编程基础 ...

1 PHP安全检查引擎Xcheck的php引擎支持原生php的安全检查，也支持对国内主流框架编写的web应用进行安全检查，覆盖包括Thinkphp,Laravel,CodeIgniter,Yii,Yaf等web框架，对尚未覆盖的框架如果有...

事情是这样的，在某次省hw的时候，对目标进行打点的时候，发现ip下存在四个域名，在一个域名中发现了beifen.zip文件，而网址的功能是一个社区类型的网址。下载后打开，发现是程序的源码，sql文...

0x01代码审计的基本概念和流程1、代码审计的定义和背景Java代码审计是指对Java应用程序代码的分析，以确定是否存在安全漏洞和风险，并提出修复建议的过程。Java应用程序的开发在近年来已经成为...

一、什么是通过错误消息导致的信息暴露缺陷?软件会生成一条错误消息，其中包含有关其环境，用户或关联数据的敏感信息。二、通过错误消息导致的信息暴露缺陷构成条件有哪些?敏感信息本身可能是有...

1、什么是OS命令注入?软件在构造OS命令时使用了外部输入的数据，如果没有对外部输入中可能影响OS命令的特殊元素进行过滤，或是过滤不充分/不正确，就有受到OS命令注入攻击的风险。OS命令注入缺...