原创 如何用瀏覽器進行網站源代碼的靜態分析—賞金獵人入門手冊
翻譯自:https://medium.com/@_bl4de/how-to-perform-the-static-analysis-of-website-source-code-with-the-browser-the-beginne
原创 nodejs應用中的權限繞過漏洞—一個賞金漏洞的故事
翻譯自:https://medium.com/bugbountywriteup/authentication-bypass-in-nodejs-application-a-bug-bounty-story-d34960256402 翻
原创 跨域資源共享(CORS)漏洞詳解-大咖聶心明-漏洞銀行大咖面對面第84期
poc: <!DOCTYPE html> <html> <body> <center> <h2>CORS POC Exploit</h2> <h3>Extract SID</h3> <div id="demo"> <button
原创 java代碼審計手書(四)
翻譯自:http://find-sec-bugs.github.io/bugs.htm 翻譯:聶心明 外部文件訪問(Android) 漏洞特徵:ANDROID_EXTERNAL_FILE_ACCESS 應用經常往外部存儲上寫數據(可能
原创 java代碼審計手書(三)
翻譯自:http://find-sec-bugs.github.io/bugs.htm 翻譯:聶心明 在使用腳本引擎時潛在的代碼注入 漏洞特徵:SCRIPT_ENGINE_INJECTION 請嚴格的評估動態代碼。應該仔細分析代碼的結
原创 作爲武器的CVE-2018-11776:繞過Apache Struts 2.5.16 OGNL 沙箱
翻譯自:https://lgtm.com/blog/apache_struts_CVE-2018-11776-exploit 翻譯:聶心明 這篇文章我將介紹如何去構建CVE-2018-11776的利用鏈。首先我將介紹各種緩解措施,這些
原创 java代碼審計手書(二)
翻譯自:http://find-sec-bugs.github.io/bugs.htm 翻譯:聶心明 xml解析導致xxe漏洞 漏洞特徵:XXE_XMLSTREAMREADER 當xml解析程序收到不信任的輸入且如果xml解析程序支持
原创 java代碼審計手書(一)
翻譯自:http://find-sec-bugs.github.io/bugs.htm 翻譯:聶心明 可預測的僞隨機數發生器 漏洞特徵:PREDICTABLE_RANDOM 在某些關鍵的安全環境中使用可預測的隨機數可能會導致漏洞,比如
原创 在realestate.postnl.nl中使用META標籤繞過xss過濾器
翻譯自:https://medium.com/@prial261/xss-bypass-using-meta-tag-in-realestate-postnl-nl-32db25db7308 翻譯:聶心明 今天我準備將一個xss漏洞報
原创 jdk解決反序列化的方法
翻譯自: https://access.redhat.com/blogs/766093/posts/3135411 翻譯: 聶心明 Java反序列化漏洞已經是過去兩年安全圈裏面最熱的流行詞了,因爲每一個使用原始java序列化的框架都會
原创 基於QL的安全研究—在Spring Data REST中找到一個遠程命令執行(CVE-2017-8046)
翻譯自:https://lgtm.com/blog/spring_data_rest_CVE-2017-8046_ql 翻譯:聶心明 在這篇文章中,我將介紹Spring Data REST遠程命令執行漏洞並且我將展示如何使用ql幫助保
原创 在我們的Struts代碼中-深入審計java漏洞
翻譯自: https://blog.sqreen.io/in-code-we-struts/ 翻譯:聶心明 休斯頓,我們有一個嚴重的安全問題 哎,對一個嚴重問題的大多數公衆報道是這樣的:“這裏有一個嚴重的問題,你應該趕快去升級ASAS
原创 2018開源靜態分析工具-第三部分-go
翻譯自:https://medium.com/@prasincs/open-source-static-analysis-for-security-in-2018-part-3-go-8018507568bb 翻譯:聶心明 在過去三年
原创 2018開源靜態分析工具-第二部分-java
翻譯自:https://medium.com/@prasincs/open-source-static-analysis-for-security-in-2018-part-2-java-f26605cd3f7f 翻譯:聶心明 昨天,
原创 2018開源靜態分析工具-第一部分-python
翻譯自:https://medium.com/@prasincs/open-source-static-analysis-for-security-in-2018-part-1-python-348e9c1af1cd 翻譯:聶心明 我