你尚未登录

未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。 加入『代码审计』知识星球即可查看所有内容。

2025 一月 15
请教各位大佬一个问题,希望有所解惑。先说一下经历,本人今年满24,由半吊子开发转到了半吊子安全,非常热衷于java代码审计,也在去年的5月份左右进入代码审计这个圈子;去年在本地驻场小项目做渗透,......

附件


# 附件名 大小 时间 操作
JpressCMS.pdf 775.7 KB 01/15/2025
2025 一月 12
...

附件


# 附件名 大小 时间 操作
静态分析漫游(二)- IDEA PSI初探.pdf 530.6 KB 01/12/2025
2025 一月 12
师傅们好,想请教一个问题 最近在尝试审计框架和中间键一类的大......
2025 一月 11
师傅们好,想请教一些问题: 先介绍本人情况,目前大三,之前看完了p神的那本web漏洞的书,刷了一些ctf的web题,程度是新生赛基本能ak,然后edusrc有过一些中低危的洞,java安......
2025 一月 10
LL......

附件


# 附件名 大小 时间 操作
LLM审计简单实现1.pdf 4.3 MB 01/10/2025

cc

2025 一月 10
打扰一下各位师傅,咨询个问题,碰到一个场景富文本编辑器中可以添加<img src=https://xxx.com/1.png> ,url链接用了star......
2025 一月 10
@路人甲:

p牛您好,抱歉占用您的时间和资源,我是一名Java安全初学者,想向您请教一点Java绕waf的一点问题,前段时间有个geoserver的漏洞是jxpath的命令注入,那个漏洞的payload采用的是exec(java.lang.Runtime.getruntime(),'whoami')这样的方式进行注入,如果有waf直接对exec()或者对括号进行限制,是否就可以有效防止对命令注入的利用呢,我目前在网上只看到相关的jxpath的利用,没有找到相关绕过思路

GeoServer CVE-2024-36401支持使用POST+XML的......
2025 一月 09
请问大家有PHP......
2025 一月 09
@路人甲:

你好,能推荐几款当前最好用的php代码审计工具吗,seay代码审计工具有的php源码好像审不了

人工审计我使用php......
2025 一月 06
之前在分析P师傅发现的Flarum RCE 从偶遇Flarum开始的RCE之旅 - 跳跳糖时,额外发现由于less编译导致的任意文件读取/RCE不只一处 主要是在站点的主题色设置的位置,第一主题......

图片