学习代码审计要熟悉三种技术,分四部分走一.编程语言 1.前端语言 html/javascript/dom元素使用，主要是为了挖掘xss漏洞，jquery 主要写一些涉及到CSRF脚本使用的或者DOM型XSS，JSON劫...

0x01 背景ExpandedWrapper在XmlSerializer反序列化过程发挥了至关重要的作用，完美的扩展了两个泛型类且它的公开的属性可以存储投影结果，正是由于提供了这么多强大的功能才被反序列化漏洞发现...

由于CWE对源代码缺陷描述的准确性和权威性，源代码缺陷检测厂家逐渐在产品和服务中引用CWE中的相关信息。CWE(Common Weakness Enumeration，通用缺陷枚举)是由美国国土安全部国家计算机安全部门...

一、什么是内存泄漏漏洞?内存泄露是C/C++程序中的常见 漏洞类型。它是指由于疏忽或错误，造成程序无法充分跟踪和释放已经不再使用的内存空间，导致系统可用内存减少，从而造成内存的浪费，...

0X00 前言DataContractSerializer类用于序列化和反序列化Windows Communication Foundation (WCF) 消息中发送的数据，用于把CLR数据类型序列化成XML流，它位于命名空间System.Runtime...

本期主题为LDAP注入漏洞的相关介绍。01什么是LDAP注入漏洞?LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写，提供访问目录数据库方法的服务和协议，常用于与目录数据库组...

本文旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。final修饰符(关键字)，若类被声明为final，意味着它不能再派生出新的子类，不能作为父类被继承。因此一个...

事情是这样的，在某次省hw的时候，对目标进行打点的时候，发现ip下存在四个域名，在一个域名中发现了beifen.zip文件，而网址的功能是一个社区类型的网址。下载后打开，发现是程序的源码，sql文...

0x01 前言 在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御，在一定程度上对网站安全防护还是比较有效的。 这里讨论一下关键字过滤不完善及常见正则匹配存在...

0x01代码审计的基本概念和流程1、代码审计的定义和背景Java代码审计是指对Java应用程序代码的分析，以确定是否存在安全漏洞和风险，并提出修复建议的过程。Java应用程序的开发在近年来已经成为...