代码审计 第5页
排序
对象只定义了Equals和Hashcode方法之一的漏洞(对象定义的语法格式)
本期主题为违规的对象模型:对象只定义了Equals和Hashcode方法之一漏洞的相关介绍。一、什么是“违规的对象模型:对象只定义了Equals和Hashcode方法之一”的漏洞?也就是同一个对象没有同时包含e...
1个月前
通用异常捕获声明缺陷漏洞(异常捕获原则)
一、什么是通用异常捕获声明缺陷?捕获过于广泛的异常会导致复杂的错误处理代码,该代码更可能包含安全漏洞。二、通用异常捕获声明缺陷构成条件有哪些?捕捉异常似乎是处理多个可能异常的有效方法...
1个月前
神秘的加密工具(加密工具下载)
我一直认为,在黑客世界里,加密技术是一种很神秘的艺术,是一种很隐晦的东西,我们可以查找资料来进行研究。当然,它在黑客世界中已经变得非常普遍,尤其是在2013年和2014年推出了Veil-Evasion...
1个月前
红队-java代码审计生命周期
红队-java代码审计生命周期@深信服-华南天玄攻防战队-KBAT前言红队java代码审计生命周期中常见的一些漏洞学习总结以及一些审计思路。红队-java代码审计生命周期过程源码获取->审计环境配置-&...
1个月前
HTTPS会话里的敏感Cookie没有设置Secure属性
本次主题为HTTPS会话里的敏感Cookie没有设置'Secure'属性缺陷漏洞的相关介绍。一、什么是HTTPS会话里的敏感Cookie没有设置'Secure'属性缺陷?HTTPS会话里的敏感Cookie没有设...
1个月前
调用System.exit()存在安全漏洞
一、为什么调用System.exit()存在安全漏洞?J2EE应用程序调用System.exit(),会关闭其容器。System.exit()其实是Java中结束进程的方法,调用它将关闭当前的JVM虚拟机。对于web应用程序来说,尝试...
1个月前
PHP内核分析-FPM和disable_function安全问题(php fpm cli)
可能最近工作比较忙吧,也可能是比较懒了,效率不太高,最近几个月里断断续续看了部分PHP内核源码。在今年的TCTF中,出现了攻击FPM绕过沙盒的场景。决定探究下FPM生命周期和disable_function源...
1个月前
代码缺陷解读:通用异常捕获声明缺陷漏洞(如何处理代码中的异常情况)
一、什么是通用异常捕获声明缺陷?捕获过于广泛的异常会导致复杂的错误处理代码,该代码更可能包含安全漏洞。二、通用异常捕获声明缺陷构成条件有哪些?的变量。捕捉异常似乎是处理多个可能异常的...
1个月前
RSA算法未使用最优非对称加密填充漏洞(rsa 非对称)
不夸张地说,只要有计算机网络的地方就有RSA算法,非对称加密算法的特点是加密秘钥和解密秘钥不同,秘钥分为公钥和私钥,用私钥加密的明文,只能用公钥解密,用公钥加密的明文,只能用私钥解密...
1个月前
一次不会代码的代码审计(不会写代码可以做测试吗)
前言由于小程序的便捷性,越来越多的应用迁移到了了小程序上,由此伴随着小程序上线前的日常渗透测试工作也开始增加。但小程序的测试中经常会遇到数据包被加密了,导致无法进行改包测试。和测试...
1个月前