本文由红日安全成员： l1nk3r 编写，如有不当，还望斧正。前言大家好，我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目，供大家学习交流，我们给这个项目起了...

一、什么是使用已破解或危险的加密算法导致的漏洞?使用已破解或者有风险的加密算法会产生软件风险，可能导致敏感信息暴露。使用非标准算法相对危险较高，因为恶意攻击者可能会利用该算法的漏洞...

对于硬编码密码，Immunity公司威胁情报负责人曾表示，这项常见的开发者漏洞不仅广泛存在，而且在短时间内似乎也不太可能被彻底解决。早在2016年Fortinet防火墙发现硬编码后门，尽管该公司否认硬...

本期主题为日志伪造漏洞的相关介绍。01什么是日志伪造漏洞?应用程序通常使用日志文件来存储事件或事务的历史，以供以后查看、收集统计信息或调试。根据应用程序的性质，检查日志文件的任务可以...

0x00 前言最近几天国外安全研究员Soroush Dalili (@irsdl)公布了.NET Remoting应用程序可能存在反序列化安全风险，当服务端使用HTTP信道中的SoapServerFormatterSinkProvider类作为信道接收器并...

序言闲来无事，想想搞点啥，这两天天天渗透app和小程序，搞得头都是大的，刚好前两天朋友给了个熊海cms，顺便审计一下0x01 xhcmsv1.0源码下载熊海cms源码，源码之家等都有，小心软件捆绑！！！...

本期主题为违规的对象模型：对象只定义了Equals和Hashcode方法之一漏洞的相关介绍。一、什么是“违规的对象模型：对象只定义了Equals和Hashcode方法之一”的漏洞?也就是同一个对象没有同时包含e...

一、什么是通用异常捕获声明缺陷?捕获过于广泛的异常会导致复杂的错误处理代码，该代码更可能包含安全漏洞。二、通用异常捕获声明缺陷构成条件有哪些?的变量。捕捉异常似乎是处理多个可能异常的...

一、什么是跨站脚本漏洞?从用户控制的输入到输出之前，软件没有对其进行过滤或没有正确过滤，这些输出用作向其他用户提供服务的网页。二、跨站脚本(XSS)漏洞通常在哪些情况下发生?1、不可信数据...

0x00 前言BinaryFormatter和SoapFormatter两个类之间的区别在于数据流的格式不同，其他的功能上两者差不多，BinaryFormatter位于命名空间 System.Runtime.Serialization.Formatters.Binary...