PHPmyadmin SQL injection in Designer feature 研究(CVE-2019-18622) 目录0x01 漏洞描述cve 编号:CVE-2019-186224.9.2之前的phpMyAdmin中发现了一个问题。 攻击者通过精心设计的数据库名或者表名,可通过设计器功能触发SQL注入攻击。官方信息PMASA-2019-5Announcement-I... 安全研究 2019-12-21 讨论 5765
【Java 代码审计入门-03】XSS 漏洞原理与实际案例介绍 目录0x00 写在前面为什么会有这一些列的文章呢?因为我发现网上没有成系列的文章或者教程,基本上是 Java 代码审计中某个点来阐述的,对于新人来说可能不是那么友好,加上本人也在学习 Java 审计,想做个学习历程的记录和总结,因此有了本系列的文章。本系... 代码审计 2019-12-18 1 5900
【Java 代码审计入门-02】SQL 漏洞原理与实际案例介绍 目录0x00 写在前面为什么会有这一些列的文章呢?因为我发现网上没有成系列的文章或者教程,基本上是 Java 代码审计中某个点来阐述的,对于新人来说可能不是那么友好,加上本人也在学习 Java 审计,想做个学习历程的记录和总结,因此有了本系列的文章。本系... 代码审计 2019-12-03 5 5584
个人经验泛谈之工控安全入门 目录0x01 写在前面最近几年,工控安全是越来越火,很多朋友问过我这样一个问题,如何学习工控安全?其实我自己也在学习工控安全,如何学习我也不能给你说怎么学才是正确的,快速的,只能说,我只是根据我个人的看法,来给出我的经验和方法。学习这个工控安全,说大了是... 安全研究 2019-12-01 70 14793
简单谈一谈 Java 中的预编译 目录0x01 预编译机制在java中JDBC中,我们写 SQL 语句的时候,有个预处理功能,这个功能一大优势就是能提高执行速度,尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。如下示例代码即为Java中... 安全研究 2019-11-27 讨论 4278
【Java 代码审计入门-01】审计前的准备 目录0x00 写在前面为什么会有这一些列的文章呢?因为我发现网上没有成系列的文章或者教程,基本上是 Java 代码审计中某个点来阐述的,对于新人来说可能不是那么友好,加上本人也在学习 Java 审计,想做个学习历程的记录和总结,因此有了本系列的文章。本系... 代码审计 2019-11-18 5 6662
Spring学习笔记 - IOC 目录Spring学习笔记 - IOC写在前面正式学习java代码审计,首先学习spring框架的一些思想和编程方法,这里记录一下自己的学习历程,希望师傅们能够指出不足IOCIOC(控制反转:InverseofControl ) ,又称作 依赖注入,是一种... 编程算法 2019-11-14 讨论 2073
带你走进PHP session反序列化漏洞 目录带你走进PHP session反序列化漏洞0x01 写在前面前些天打了巅峰极客,遇到了一题 session 反序列化,借此机会整理一下php session 反序列化的前生今世,愿与君共勉,如若有错,还望斧正0x02 什么是 php session谈... 安全研究 2019-11-01 讨论 1910
带你走进 S7COMM 与 MODBUS 工控协议 目录本文首发先知社区:https://xz.aliyun.com/t/66030x01 S7COMM协议S7COMM 全称S7 Communication,是西门子专有协议,在西门子S7-300 / 400系列的PLC之间运行,用于PLC编程,PLC之间... 安全研究 2019-10-28 3 3144
2019 工业信息安全竞赛总结 0x00 前言参加了今年的工控安全比赛,这个比赛分为线上赛(五场,每一场都可以参加,取最好成绩一场),线下复赛(前 60 名),线下决赛(复赛前三十名),我和两个同学组队,最后拿到了第三场线上第一,线下复赛第九,决赛第七名的成绩借着九零举办活动的机会,写... CTF 2019-10-21 讨论 2229
