原创 如何用瀏覽器進行網站源代碼的靜態分析—賞金獵人入門手冊

翻譯自:https://medium.com/@_bl4de/how-to-perform-the-static-analysis-of-website-source-code-with-the-browser-the-beginne

2018-12-16 17:19:57 3

原创 nodejs應用中的權限繞過漏洞—一個賞金漏洞的故事

翻譯自:https://medium.com/bugbountywriteup/authentication-bypass-in-nodejs-application-a-bug-bounty-story-d34960256402 翻

2018-12-08 13:19:35 1

原创 跨域資源共享(CORS)漏洞詳解-大咖聶心明-漏洞銀行大咖面對面第84期

poc: <!DOCTYPE html> <html> <body> <center> <h2>CORS POC Exploit</h2> <h3>Extract SID</h3> <div id="demo"> <button

2018-12-07 13:10:54

原创 java代碼審計手書(四)

翻譯自:http://find-sec-bugs.github.io/bugs.htm 翻譯:聶心明 外部文件訪問(Android) 漏洞特徵:ANDROID_EXTERNAL_FILE_ACCESS 應用經常往外部存儲上寫數據(可能

2018-12-01 00:03:09 310

原创 java代碼審計手書(三)

翻譯自:http://find-sec-bugs.github.io/bugs.htm 翻譯:聶心明 在使用腳本引擎時潛在的代碼注入 漏洞特徵:SCRIPT_ENGINE_INJECTION 請嚴格的評估動態代碼。應該仔細分析代碼的結

2018-11-26 05:08:44 502

原创 作爲武器的CVE-2018-11776:繞過Apache Struts 2.5.16 OGNL 沙箱

翻譯自:https://lgtm.com/blog/apache_struts_CVE-2018-11776-exploit 翻譯:聶心明 這篇文章我將介紹如何去構建CVE-2018-11776的利用鏈。首先我將介紹各種緩解措施,這些

2018-11-23 06:34:55 21

原创 java代碼審計手書(二)

翻譯自:http://find-sec-bugs.github.io/bugs.htm 翻譯:聶心明 xml解析導致xxe漏洞 漏洞特徵:XXE_XMLSTREAMREADER 當xml解析程序收到不信任的輸入且如果xml解析程序支持

2018-11-22 05:40:32 296

原创 java代碼審計手書(一)

翻譯自:http://find-sec-bugs.github.io/bugs.htm 翻譯:聶心明 可預測的僞隨機數發生器 漏洞特徵:PREDICTABLE_RANDOM 在某些關鍵的安全環境中使用可預測的隨機數可能會導致漏洞,比如

2018-11-21 06:33:52

原创 在realestate.postnl.nl中使用META標籤繞過xss過濾器

翻譯自:https://medium.com/@prial261/xss-bypass-using-meta-tag-in-realestate-postnl-nl-32db25db7308 翻譯:聶心明 今天我準備將一個xss漏洞報

2018-11-20 06:01:45 2

原创 jdk解決反序列化的方法

翻譯自: https://access.redhat.com/blogs/766093/posts/3135411 翻譯: 聶心明 Java反序列化漏洞已經是過去兩年安全圈裏面最熱的流行詞了,因爲每一個使用原始java序列化的框架都會

2018-11-08 09:23:12

原创 基於QL的安全研究—在Spring Data REST中找到一個遠程命令執行(CVE-2017-8046)

翻譯自:https://lgtm.com/blog/spring_data_rest_CVE-2017-8046_ql 翻譯:聶心明 在這篇文章中,我將介紹Spring Data REST遠程命令執行漏洞並且我將展示如何使用ql幫助保

2018-11-04 07:29:17

原创 在我們的Struts代碼中-深入審計java漏洞

翻譯自: https://blog.sqreen.io/in-code-we-struts/ 翻譯:聶心明 休斯頓,我們有一個嚴重的安全問題 哎,對一個嚴重問題的大多數公衆報道是這樣的:“這裏有一個嚴重的問題,你應該趕快去升級ASAS

2018-11-04 07:29:17

原创 2018開源靜態分析工具-第三部分-go

翻譯自:https://medium.com/@prasincs/open-source-static-analysis-for-security-in-2018-part-3-go-8018507568bb 翻譯:聶心明 在過去三年

2018-10-26 22:25:25 1

原创 2018開源靜態分析工具-第二部分-java

翻譯自:https://medium.com/@prasincs/open-source-static-analysis-for-security-in-2018-part-2-java-f26605cd3f7f 翻譯:聶心明 昨天,

2018-10-26 22:25:25

原创 2018開源靜態分析工具-第一部分-python

翻譯自:https://medium.com/@prasincs/open-source-static-analysis-for-security-in-2018-part-1-python-348e9c1af1cd 翻譯:聶心明 我

2018-10-26 22:25:24