0x00 前言 这段时间就一直在搞代码审计了。针对自己的审计方法做一下总结，记录一下步骤。 审计没他，基础要牢，思路要清晰，姿势要多且正。 下面是自己审计的步骤，正在逐步调整，寻求效率最高。 0x01 关于 XiaoCms XiaoCms 企业建站版基于 PHP+Mysql ...

0x00 背景 来公司差不多一年了，然而我却依旧没有转正。约莫着转正也要到九月了，去年九月来的，实习，转正用了一年。2333 废话不多说了，最近有其他的事要忙，很久没有代码审计了。难的挖不了，浅的没意思。那就随便选吧。 在A5找了套源码，找找感觉。花了十来分钟审了一下，发现了个未授权任意文件 ...

的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件， ...

0x01 代码分析 发现在app\system\include\module\old_thumb.class.php疑似有任意文件读取漏洞 页面建立old_thumb 类，并创建dbshow方法 2．程序首先过滤…/和./两个特殊字符，然后要求字符必须以http开头 ...

在文件下载操作中，文件名及路径由客户端传入的参数控制，并且未进行有效的过滤，导致用户可恶意下载任意文件。 0x01 客户端下载 常见于系统中存在文件(附件/文档等资源)下载的地方。 漏洞示例代码： 文件名用户可控，导致存在任意文件下载漏洞，攻击者提交url ...

JEECG代码审计之文件上传 0x01 简述 JEECG（J2EE Code Generation）是一款基于代码生成器JEE的智能开发平台。引领新的开发模式(Online Coding->代码生成器->手工MERGE智能开发)，可以帮助解决Java项目90%的重复工作，让开发更多 ...

java编译篇 java编译过程： Java源代码 ——（编译）——> Java字节码 ——（解释器）——> 机器码 Java源代码 ——（编译器 ）——> jvm可执行的Java字节码 ——（jvm解释器） ——> 机器可执行的二进制机器码 ——>程序运行 ...

一、JavaWeb 安全基础 1. 何为代码审计? 通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序自身中存在的安全问题，由于Java本身是编译型语言，所以即便只有class文件的情况下我们依然可以对Java代码进行审计。对于未编译的Java源代码文件我们可以直接阅读 ...